我需要你们的帮助。
我正在为服务器使用大量公共 IP,这些服务器只打开一个端口进行服务。并且还使用 L3 交换机进行负载平衡。(我将它们用于 EXDNS、Pulic-web 等)
在这种环境中,我发现了一些数据包,这些数据包来自许多具有 53 端口的公共 IP 到具有任何端口的公共 IP,而不是我正在使用的端口。并且域名是xxxx.x99moyu.net(域的最低部分被随机更改。)这是ACK包,包括查询的答案127.0.0.1。但是我们的服务器从不发送这些域的 DNS 查询。我得到的数据包之一是
*------------------------------------------------- -----------------
IPv4, Src : 171.125.150.23, Dst: 112.xxx (my ip)
UDP, Src Port: 53, Dst Port: 54162
Domain Name System (response)
Questions: 1
Answer RRs: 1
Queries : tnczmz.x99moyu.net : type A, class IN
答案: tnczmz.x99moyu.net : type A, class IN, addr 127.0.0.1
---------------------------- ----------------------------------------*
第一眼看到这些数据包,写一篇关于DNS放大攻击的senario。使用互联网上的 DNS 服务器和 src.ip 的公共 ip,然后我的服务器将从 DNS 服务器获得许多应答包。但是目标太广而无法成功攻击,因为超过 200 个服务器收到了这些数据包,而每个服务器只收到 3-5 个 dns 响应。
所以,如果有人有类似的经历或知道它发生的原因,请告诉我。谢谢。