Hosting-provider waarschuwt dat onze DNS-server gebruikt is in een amplification-aanval
Bij DNS-amplification stuurt een aanvaller kleine queries met gespoofd bron-IP naar een open recursive resolver, die een veel groter antwoord naar het slachtoffer stuurt. Als jouw server in zo'n keten zit, sluit je 'm direct af voor publiek verkeer.
Probeer dit eerst zelf
- 1Beperk de recursive resolver tot je eigen netwerk: in BIND allow-recursion {trusted;}, in Windows DNS dezelfde scope-restrictie.
- 2Disable EDNS-grote-responses voor onbekende bronnen, of activeer Response Rate Limiting (RRL) op je authoritative server.
- 3Zet rate-limiting op de firewall voor inkomende UDP-poort 53 vanuit het publieke internet, een paar honderd queries per seconde max.
- 4Controleer met openresolver.com of dnsinspect.com of je IP nog op een lijst van open resolvers staat.
- 5Beweeg waar mogelijk naar een managed Anycast-DNS (Cloudflare, NS1) zodat amplification-mitigatie niet meer jouw probleem is.
Wanneer ons inschakelen
Ben je doelwit of bron van DNS-misbruik en blijven abuse-mails binnenkomen, dan helpen we de resolver dichtzetten en de host-relatie opschonen.
Zie ook
- Domein vervalt morgen en niemand had de mail gezienEen vervallen domein gaat niet direct naar een ander. Er zit een redemption-window omheen, maar je betaalt extra.
- Twijfel of auto-renew aan moet of nietAuto-renew uitzetten is alleen zinvol bij domeinen die je echt loost. Voor alles wat live is, gewoon aan.
- Nieuwe registrar vraagt om auth-code, weet niet waar die staatEPP-code of transfer-code is het wachtwoord om een domein van registrar A naar B te verhuizen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.