Comprobar la seguridad de un servidor DNS frente a ataques de amplificación

Para productos de servidores con derechos de administración

De esta manera puedes averiguar si terceros pueden utilizar tu servidor para un ataque de amplificación de DNS.

Para averiguar si la configuración actual es incorrecta, haz que el servidor resuelva un nombre de host. Si la resolución funciona, debes ajustar la configuración de tu servidor. Si la resolución del nombre falla, no tienes que hacer nada más.

Prueba en Windows

• Pulsa la combinación de teclas Windows + R.

• Escribe cmd y pulsa Enter.

• Introduce www.ionos.mx [dirección IP de tu servidor root] como comando nslookup y confirma tu entrada con Enter.
  
  Por ejemplo:

  nslookup www.ionos.mx 123.123.12.123

• Si ahora obtienes una salida similar a la siguiente, esto significa que tu servidor está respondiendo a la petición y por lo tanto es vulnerable a los ataques de amplificación. En tal caso, debes ajustar la configuración de DNS tal y como se describe en este enlace.

  Non-authoritative answer:
  Name: www.ionos.mx
  Address: 212.227.17.105

• Si el mensaje es similar al siguiente o solo recibes un timeout (tiempo de expiración), no necesitas hacer nada más.

  *** Unknown can't find www.ionos.mx: Query refused

Prueba en Linux o Mac OS

• Abre un terminal (consola).

• Introduce el comando host www.ionos.mx [dirección IP de tu servidor root].

  Por ejemplo:

  host www.ionos.mx 123.123.12.123

• Si ahora obtienes una salida similar a la siguiente, esto significa que tu servidor está respondiendo a la petición y por lo tanto es vulnerable a los ataques de amplificación. En tal caso, debes ajustar la configuración de DNS tal y como se describe en este enlace.

  >www.ionos.mx has address 212.227.17.105

• Si, por otro lado, recibes una salida similar a la siguiente, no tienes que hacer nada porque tu DNS se niega a responder a la consulta.

  Host www.ionos.mx not found: 5(REFUSED)