Wal*_*mra 7 domain-name-system bind ddos fail2ban
我最近发现我的服务器被用作 DNS DDOS 的一部分。基本上,我的 BIND 设置允许递归,它被用来使用 IP 欺骗攻击某个 IP 地址。
我采取了必要的措施来阻止这种情况,并禁用递归。我不再是放大器,我想这解决了大问题,但我仍然收到大量查询,BIND 对所有查询都回复“拒绝”。
我只是想知道是否还有什么我可以做的。我想我可能会配置 fail2ban 来阻止它们,做一些类似于Debian 建议的事情,但根据其他网站和合理的逻辑,这并不理想,因为攻击者可以轻松地让我阻止任何 IP 访问我的服务器。
那么还有什么办法呢?或者我应该等待攻击者放弃?或者希望他们重新扫描并将我从放大器中除名?
基本上,链接文章中描述的fail2ban 设置会修改防火墙,以丢弃(在有限时间内)来自不允许查询 DNS 服务器的源 IP 的传入 DNS 查询。这不是一个坏主意,但如果您不为互联网上的一个或多个域提供权威 DNS,那么为什么不忘记fail2ban,并完全删除来自互联网的所有传入 DNS 查询呢?
如果您运行的是权威 DNS 服务器,那么不幸的是,您无法忽略 DNS 查询。在这种情况下,我认为您没有太多选择,只能保持现有状态(关闭递归),并耐心等待传入的欺骗流量逐渐下降。能够将绑定本身配置为默默地忽略它配置为不回答的查询肯定会很好,但我不认为它具有该功能。(毕竟,这种行为在技术上会违反 DNS 协议。)Fail2ban 确实提供了某种替代方案,但正如您所指出的,它并不理想。