nn4*_*n4l 7 domain-name-system bind ddos
我打开了 dns 查询日志,当运行“tail -f /var/log/syslog”时,我看到我从一个 IP 地址收到数百个相同的请求:
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#10856: query: mydomain.de IN ANY +
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#44334: query: mydomain.de IN ANY +
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#15268: query: mydomain.de IN ANY +
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#59597: query: mydomain.de IN ANY +
频率约为每秒 5 - 10 个请求,持续约一分钟。之后,从不同的 IP 地址重复相同的效果。我现在已经在短短几个小时内记录了来自大约 25 个 IP 地址的大约 10000 个请求,根据“whois [ipaddr]”,所有请求都来自中国。
这里发生了什么?我的名称服务器是否受到攻击?我可以做些什么吗?
sh-*_*eta 17
这里发生了什么?我的名称服务器是否受到攻击?我可以做些什么吗?
这里发生了什么?
从经过处理的日志条目中无法判断。这里只是几种可能性:
我的名称服务器是否受到攻击?
来自少数 IP 的每秒 5-10 个 DNS 请求?疑。我所知道的大多数 DNS 攻击都使用特制的请求来干扰服务器的内部功能或淹没其资源。一般来说,如果你不得不问,你就不会受到攻击。
我可以做些什么吗?
当然,您可以阻止防火墙中的违规 IP 或安装aforementioend Fail2Ban工具。
但你应该吗?
请记住,您的 DNS 服务器的全部工作是响应请求。您在打开查询日志记录并查看输出后注意到了这一点。你看到疯狂的 CPU 使用率了吗?网络IO?其他已知的合法请求是否由于资源争用而无法提供服务?
如果没有,你为什么要阻止他们?让协议按照设计的方式工作。如果您想要更清晰的日志,请关闭查询日志记录,直到您需要诊断问题为止。
有人正在滥用您的 DNS 服务器对被攻击者欺骗的 IP 地址进行放大121.12.173.191攻击。
由于 DNS 主要使用 UDP,这是一种无连接协议,因此欺骗查询的源地址并将(较大的)响应发送回该欺骗地址的真正所有者是微不足道的。
使用ANY查询来实现放大在 DNS 圈子中是众所周知的,但只是最近才被黑客滥用。
这是可能的,如果你监测的入站数据包,他们将是不一致的IP TTL的值-这表明欺骗性的数据包正在采取许多不同的路径到达你,即使他们似乎都来自同一个地方。
您很可能每秒只能看到 5-10 个数据包,但攻击者将使用许多其他主机来使目标地址饱和。
| 归档时间: |
|
| 查看次数: |
5094 次 |
| 最近记录: |