【DNS Server Spoofed Request Amplification DDoS漏洞修复】

前言

之前对公司服务器做漏洞扫描，发现扫描工具提示存在这样一个漏洞，本来觉得漏洞利用率低，而且扫描百度，QQ等网站也会有此漏洞，主要是找了很久资料也不知道如何修复，所以暂未处理。但是近期由于一些原因不得不处理，好在找到了问题所在，故分享一下。

一、漏洞描述

远程DNS服务器响应任何请求。可以查询根区域（'.'）的名称服务器（NS），得到比原始请求更大的答案。通过欺骗源IP地址，远程攻击者可以利用这种“放大”对使用远程DNS服务器的第三方主机发起拒绝服务攻击。

二、修复措施

最终在深信服技术支持官网中找到了案例

参考文章：托管云-深信服技术支持

漏洞产生根本原因：出口路由器启动了DNS代理功能

解决方案：关闭出口路由器DNS代理功能即可，一般是在AD设备上面。

关闭后重新扫描未报出漏洞，问题解决。