Open DNS-resolvers zijn DNS-resolvers welke voor elk IP-adres een reactie geven en zodoende misbruikt kunnen worden voor "amplification attacks". Simpel gezegd kan er zo een hoeveelheid data naar jouw DNS-resolvers verzonden worden (vanaf een gespoofd IP) en komt er significant grotere hoeveelheid data terug. Via deze weg kunnen kwaadwillende dan jouw resolvers misbruiken om een (D)DoS-aanval uit te voeren op het gespoofde IP-adres.
Daarom is het van groot belang dat je dit altijd uitschakelt en alleen resolving toestaat voor selecte IP's / servers, bijvoorbeeld uit je private network. Het uitschakelen van de open DNS-resolvers doe je als volgt:
Windows Server
Maak je gebruik van een Active Directory? Dan heb je waarschijnlijk wel de DNS-service nodig. Alternatief kun je dan in plaats van onderstaande instructie de inbound rules van je Windows Firewall with Advanced Security > DNS (TCP, Incoming & UDP, Incoming) > Scope > Remote IP addresses enkel 127.0.0.1, het IP van je VPS en de IP's op je private network toestaan.
Stap 1
Log in op je server en klik met de linker muisknop in je Server Manager op 'DNS'. Klik vervolgens met de rechter muisknop op de naam van je VPS en klik op 'DNS Manager'.
Stap 2
DNS-beheer wordt geopend. Klik in het linker menu met de linker muisknop op de naam van de VPS en vervolgens nogmaals met de rechter muisknop op 'Properties' (rechtstreeks met de rechter muisknop op de naam van de VPS klikken werkt niet).
Stap 3
Klik op het tabblad 'Geavanceerd' (zie de screenshot in stap 4).
Stap 4
Vink 'Disable recursion' aan en klik op 'Apply'.
Open DNS-resolvers op jouw VPS zijn nu uitgeschakeld.
Linux
BIND wordt het meest gebruikt als DNS-server, maar mocht je een andere DNS-server gebruiken raadpleeg dan de documentatie hiervan. In Bind schakel je open DNS-resolvers uit door de volgende regels (als root) toe te voegen in de options sectie van /etc/named.conf:
Stap 1
Open /etc/named.conf
nano /etc/named.conf
Stap 2
Voeg onder 'Opties' de volgende regels toe:
allow-transfer {"none";};
allow-recursion {"none";};
recursion no;
Sla de wijzigingen op en sluit het bestand (ctrl + x > y > enter).
Stap 3
Om de wijzigingen te verwerken is het herladen van de service toereikend:
Ubuntu / Debian
service bind9 reload
CentOS
service named reload
Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.