服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 53端口上的可疑IP数据包
Intereting Posts
Apache mod_proxy 清漆3至4升级configuration更改 连接到Samba通过互联网共享 Linux没有修改时间(nomtime) 从Windows命令行启动postgres 9.4服务器 在master上添加表 – mysql数据库复制 如果下一跳无法访问,则使用sendmail排队邮件 我怎样才能使sendmail走得更快 服务器每隔几天就停下来 从USB运行时的pipe理程序性能 Rsync和Webmin将不会识别端口的变化 NTP主机如何在各种模式之间切换? 连接拒绝Apache 2.4虚拟主机 Ubuntu / apache2:无法打开端口443 只允许从内部networking对SSH服务器进行密码validation

53端口上的可疑IP数据包

我发现了一个奇怪的问题,希望有人能帮我解决。 如果我使用“ tcpdump -i em1 -vvv -s 0 -l -n port 53 ”命令捕获端口53上的em1networking接口上的ip数据包,我得到了一个奇怪的结果(下面是它们的一部分),不断地来自未知IP的数据包(重复4-5个IP)。 在服务器上运行centos7和Bind9 DNS服务器。 如果我closures指定的服务或networking服务,数据包仍然会来。 我将服务器的私有IP从10.10.10.100更改为10.10.10.xxx,问题仍然存在,ip包持续到原来的10.10.10.100 IP。 我有几次重新启动服务器,没有结果。

我的问题是,我能忽略这个吗? 这是一个像攻击的ddos吗? 基于这样一个事实,在networking服务closures的情况下,问题依然存在,我认为这可能是一个错误或病毒。 是吗? 

09:13:28.941958 IP (tos 0x20, ttl 105, id 12674, offset 0, flags [DF], proto TCP (6), length 52) 107.167.18.163.32902 > 10.10.10.100.domain: Flags [S], cksum 0x9538 (correct), seq 2019438094, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0 09:13:28.942006 IP (tos 0x20, ttl 64, id 41456, offset 0, flags [DF], proto TCP (6), length 40) 10.10.10.100.domain > 107.167.18.163.32902: Flags [.], cksum 0x328e (correct), seq 0, ack 1, win 14600, length 0 09:13:29.128215 IP (tos 0x20, ttl 103, id 54720, offset 0, flags [DF], proto TCP (6), length 52) 107.167.18.163.32902 > 10.10.10.100.domain: Flags [S], cksum 0x35d2 (correct), seq 2106165321, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0

服务器位于Cisco路由器的后面,在路由器上是NAT规则(86.34.156.51 < – > 10.10.10.100)。 在BIND DNS服务器中,我必须设置本地私有IP,否则,如果绑定configuration了公有IP,DNS数据包永远不会到达提出请求的主机(可能是路由器解释为86.34.156.51必须路由回到主机(10.10.10.100))。 与此相关的另一个问题是,到达目标主机时,DNS数据包的TTL值始终为0。

这里是-A标志的结果“tcpdump -i em1 -A -vvv -s 0 -l -n port 53” 

 11:16:22.681589 IP (tos 0x20, ttl 77, id 55139, offset 0, flags [DF], proto TCP (6), length 52) 107.167.22.93.59026 > 10.10.10.100.domain: Flags [S], cksum 0x47a6 (correct), seq 1337080454, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0 E [email protected]..] d...5O.:....... .G............... 11:16:22.681638 IP (tos 0x20, ttl 64, id 28261, offset 0, flags [DF], proto TCP (6), length 40) 10.10.10.100.domain > 107.167.22.93.59026: Flags [.], cksum 0xd525 (correct), seq 0, ack 1, win 14600, length 0 E .(ne@[email protected]. dk..].5..kT na.7|P.9..%..

您已经注意到,数据包是通过您的路由器中的NAT规则从您的组织外部到达的,该规则翻译了86.34.156.51 < – > 10.10.10.100 。 我反向parsing这个地址,然后得到ns1.style2take.ro. 。 显然,这台机器作为域名服务器广告给世界。 closures该主机上的BIND服务不会阻止查询通过; 它应该改变你发回的东西(例如,当服务没有运行的时候,某种types的重置/不可达错误),但是当服务打开或者closures的时候你不会说你的tcpdump是在运行的,所以很难进一步评论。

域名服务器收到DNS查询请求并不是疯狂的。 通常,人们正在寻找开放的parsing器,因为这些parsing器对于合法(名称parsing)和不适当(DDoS放大)目的都是有用的。

如果你打算这台机器应该是一个已发布的域名服务器,那么请确保你已经正确地configuration了BIND(只在权威域中回答查询,而不是为了recursionparsing,为了互联网),跟上你的BIND补丁,不用担心这个stream量。 换句话说,让应用程序进行应用程序层过滤; 一个正确configuration的BIND将比任何你可能放在它前面的过滤设备做更好的决定,哪些查询要回答,哪些要忽略。

如果你不打算这台机器应该是一个发布的名称服务器,那么摆脱这个NAT规则,并确保地址和名称不出现在任何胶水logging或活动区域文件。

至于看到有效载荷的内容,根本没有额外标志的任何现代版本的tcpdump都应该查看DNS数据包。 以下是我的名称服务器ns.teaparty.net的一些示例输出: 

 [me@lory mail]$ sudo tcpdump port 53 [...] 09:37:23.613422 IP nrdns08.fibertel.com.ar.57799 > ns.teaparty.net.domain: 62409 MX? enjura.com. (28) [ and many, many more ]