那些遇到过的问题

奇怪的 DNS DOS 攻击——<blank domain> 的无限递归查询

eve*_*sed 3 domain-name-system denial-of-service

我们的 W2K3 DNS 服务器似乎受到了某种 DOS 攻击,但我似乎无法找到有关攻击的任何描述或理由。

三台特定的远程主机一直在用这样的线路轰炸我们三台 DNS 服务器中的两台:

8937  891.093750  91.205.43.25  ns2.me.com  DNS  DNS: QueryId = 0xDA7C, QUERY (Standard query), Query  for   of type NS on class Internet
8938  891.218750  91.205.43.25  ns2.me.com  DNS  DNS: QueryId = 0xA504, QUERY (Standard query), Query  for   of type NS on class Internet
8939  891.219727  91.205.43.25  ns1.me.com  DNS  DNS: QueryId = 0x4E3F, QUERY (Standard query), Query  for   of type NS on class Internet
8940  891.370117  69.197.181.26   ns1.me.com  DNS  DNS: QueryId = 0xA8CC, QUERY (Standard query), Query  for   of type NS on class Internet
8941  891.372070  69.197.181.26   ns2.me.com  DNS  DNS: QueryId = 0xC808, QUERY (Standard query), Query  for   of type NS on class Internet
8942  891.476562  91.205.43.25  ns2.me.com  DNS  DNS: QueryId = 0xCC37, QUERY (Standard query), Query  for   of type NS on class Internet
8943  891.478516  91.205.43.25  ns1.me.com  DNS  DNS: QueryId = 0xEDEC, QUERY (Standard query), Query  for   of type NS on class Internet
Run Code Online (Sandbox Code Playgroud)

几天来,每秒大约有 10 次。每个攻击者都快速连续尝试两台被攻击的服务器,尽管他们从未尝试过我们的第三台服务器。

以下是每个数据包的详细信息示例:

  Frame: 
+ Ethernet: Etype = Internet IP (IPv4)
+ Ipv4: Next Protocol = UDP, Packet ID = 20114, Total IP Length = 45
+ Udp: SrcPort = 23909, DstPort = DNS(53), Length = 25
- Dns: QueryId = 0xEDEC, QUERY (Standard query), Query  for   of type NS on class Internet
    QueryIdentifier: 60908 (0xEDEC)
  - Flags:  Query, Opcode - QUERY (Standard query), RD, Rcode - Success
     QR:                (0...............) Query
     Opcode:            (.0000...........) QUERY (Standard query) 0
     AA:                (.....0..........) Not authoritative
     TC:                (......0.........) Not truncated
     RD:                (.......1........) Recursion desired
     RA:                (........0.......) Recursive query support not available
     Zero:              (.........0......) 0
     AuthenticatedData: (..........0.....) Not AuthenticatedData
     CheckingDisabled:  (...........0....) Not CheckingDisabled
     Rcode:             (............0000) Success 0
    QuestionCount: 1 (0x1)
    AnswerCount: 0 (0x0)
    NameServerCount: 0 (0x0)
    AdditionalCount: 0 (0x0)
  - QRecord:   of type NS on class Internet
     QuestionName: 
     QuestionType: NS, Authoritative name server, 2(0x2)
     QuestionClass: Internet, 1(0x1)
Run Code Online (Sandbox Code Playgroud)

我们目前将防火墙配置为简单地丢弃来自三个攻击者的请求,但是如果我允许他们通过,我们的服务器会响应一个很长的答案,列出所有根提示服务器的名称(但不是地址),它似乎是这样做的不管递归是否开启。

任何人都知道这是关于什么的吗?我可以让传入的流量停止,还是我一直在防火墙阻止它直到他们感到无聊?

感谢您提供任何信息,
保罗

Aln*_*tak 6

这可能不是针对您的 DoS - 更有可能是您的机器被用来向其他人发送数据包。

这被称为“放大攻击”。他们向您发送一个 25 字节的 DNS 请求 - 您发送回约 500 字节的根提示。

如果是这种情况,则源 IP 地址实际上是欺骗性的,并且他们正在利用您的大量响应来增强其 DoS 对这些欺骗性 IP 地址的影响。

在您的防火墙上丢弃数据包可能是目前您能做的最好的事情。

然而,从长远来看,真正的解决方案是配置您的 DNS 服务器REFUSED,为服务器不具有权威性的任何查询返回响应代码。如果您这样做,那么您的服务器将不再是未来对其他人进行放大攻击的有用工具。

归档时间:

查看次数:

2599 次

最近记录:

13 年,8 月 前
相关归档
使用单个公共 IP 地址在 NAT 后面暴露多个服务器 17
是否可以将 TXT 记录用于 CAA(认证机构授权) 8
如何在我的域中使用大写字母(类似于 Berkeley.EDU) 7
如何为使用两个 ISP 的单个 Web 服务器设置故障转移? 5
绑定:“nsupdate -l”失败,状态为“更新失败:拒绝” 5
如何重定向域 4
DNS 转发或根提示 4
仅在 Linux 中为一个进程设置自定义 /etc/hosts 或解析器 3
是否可以为 Github Pages 托管设置 PTR 记录? 2
我在互联网上可见的 IP 地址和端口号是什么? -4
难疑归档
如何在 bash 中创建 UUID? 185
SSH 只使用我的密码,忽略我的 ssh 密钥,不要提示我输入密码 174
如何在 Windows Powershell 中区分两个文本文件? 128
在 Windows 中,使用命令行如何检查远程端口是否打开? 120
连接到上游时 connect() 失败(111:连接被拒绝) 117
为什么 sudo 命令需要很长时间才能执行? 108
允许 SCP 但不允许使用 SSH 实际登录 68
公共 DNS 中的私有 IP 地址 66
使用 noatime 挂载文件系统的缺点? 65
如何将各种证书组合成单个 .pem 55