Was sind DNS Open-Resolver?
DNS Open-Resolver sind DNS-Server, die auf rekursive Anfragen für beliebige Domain-Namen von überall im Internet antworten.
Diese Open-Resolver können für DDoS-Angriffe gegen Dritte missbraucht werden und die Performance der eigenen Geräte und Leitungen kann beeinträchtigt werden.
Dies ist keine gewünschte Konfiguration und muss korrigiert werden.
Neben Windows DNS Servern und Linux (z.B. BIND) haben auch andere Geräte (Modems, Firewalls etc) solche Funktionen.
Es gibt leider auch DSL-Modems, die in der Standard-Konfiguration Open-Resolver sind (z.B. ZyXEL P660R-D1).
Lösungen
Um die Probleme zu beheben, muss bei den DNS Servern die Recursion (Resolver-Funktion bzw. Rekursion) abgeschaltet werden.
- Schalten Sie den DNS-Server aus. (z.B. DNS-Software auf Server, Funktion beim Modem, Firewall Seite WAN).
- Sperren Sie den DNS-Zugriff von Richtung Internet zum internen DNS-Server.
- Beschränken Sie den Zugriff auf die erlaubten IP-Absender (z.B. interne IP-Adressen).
Kontrollieren Sie danach erneut, ob das Problem behoben ist.
Prüfen
Es gibt verschiedene Online-Tests.
Test aus dem gleichen Netz in dem sich der DNS-Resolver befindet:
https://www.thinkbroadband.com/tools/open-dns-resolver-check
Test aus einem anderen Netz:
- Kommandozeilen Interface von Windows (CMD).
- nslookup –q=all
- server <die IP Adresse des openresolvers>
Bei der Anzeige "time out" wird kein Open-Resolver betrieben.
