【DNS Server Spoofed Request Amplification DDoS漏洞修复】
文章目录
前言
之前对公司服务器做漏洞扫描,发现扫描工具提示存在这样一个漏洞,本来觉得漏洞利用率低,而且扫描百度,QQ等网站也会有此漏洞,主要是找了很久资料也不知道如何修复,所以暂未处理。但是近期由于一些原因不得不处理,好在找到了问题所在,故分享一下。
一、漏洞描述
远程DNS服务器响应任何请求。可以查询根区域('.')的名称服务器(NS),得到比原始请求更大的答案。通过欺骗源IP地址,远程攻击者可以利用这种“放大”对使用远程DNS服务器的第三方主机发起拒绝服务攻击。
二、修复措施
最终在深信服技术支持官网中找到了案例
参考文章:托管云-深信服技术支持
漏洞产生根本原因:出口路由器启动了DNS代理功能
解决方案:关闭出口路由器DNS代理功能即可,一般是在AD设备上面。
关闭后重新扫描未报出漏洞,问题解决。