第一个必须首先询问数据包是否实际上来自您的主机。源 IP 欺骗一直在发生,如果没有上下文,日志条目就无法说明源 IP 的真实性。
下一个问题是您是否在该主机上运行 DNS 服务器。如果该主机上没有 DNS 服务器,则它们记录的数据包很可能是欺骗性的。然后这就是您应该向托管服务提供商解释的内容。
如果您正在运行 DNS 服务器,那么该数据包可能是真实的,但这并不一定意味着有任何理由抱怨它。您必须问自己是否真的需要运行 DNS 服务器。如果您正在运行一个 DNS 服务器,您一开始就不需要它,那么关闭它是一个好主意,不管投诉如何。
现在让我们暂时假设您确实有理由运行 DNS 服务器,并且数据包确实来自您的 DNS 服务器。这是否意味着您需要做一些事情?
在这种情况下,您应该考虑确保您的 DNS 服务器不会在放大攻击中被滥用。然而,上面的数据包看起来不像是放大攻击的一部分。在放大攻击中,如果您的 DNS 服务器支持,您可能会看到大小至少接近 512 字节或 4KB 的数据包。记录的数据包大小只有 50 字节,相比之下,这是很小的。
如果您正在运行 DNS 服务器,则上述日志条目最有可能的解释实际上是防火墙配置错误,从而产生了该日志条目。很可能有一个真正合法的 DNS 请求发出,而一个合法的 DNS 回复又回来了。但是防火墙由于某种原因在回复回来之前丢失了连接跟踪条目。
此外,措辞暗示他们丢弃了数据包而不是发回 ICMP 错误。ICMP 错误是其中一种工具,可用于检测欺骗攻击并激活对策。
如果 DNS 服务器对放大攻击应用了所有最好的对策,这在技术上是可行的,那么阻止意外的 UDP 数据包而不将 ICMP 错误发回就像要求受到攻击一样。
我的推理的哪些部分与您的案例有关,这在一定程度上取决于细节。但我希望托管服务提供商在向他们提供正确的部分时会意识到投诉是无效的。
| 归档时间: |
|
| 查看次数: |
339 次 |
| 最近记录: |