我刚收到一封来自我的网站互联网提供商的电子邮件,说我的服务器在过去几个星期里被“作为DDoS攻击(DNSreflection)中的开放式parsing程序”。
这是完整的电子邮件:
主题:DNS放大攻击亲爱的先生或女士,
我们已收到垃圾邮件/滥用通知。 请采取必要的措施,以防将来再次发生这种情况。
- 在不同的虚拟机上安装Active Directory并不合适 – 不知道为什么
- 为什么www.example.com与example.com不同?
- 在绑定中recursion和转发有什么区别
- 使用Nagios监控DNS服务器
- 用户友好的IP地址更改
此外,我们会要求您在24小时内向我们和提交投诉的人提供简短的陈述。 这个陈述应该包括事件发生前的事件细节以及你正在采取的处理步骤。
下一步: – 解决问题 – 将您的陈述发送给我们 – 将您的陈述发送给每个电子邮件投诉人
细节将由一位同事检查,他将协调进一步的程序。 如果发生多次投诉,可能会导致服务器被locking。 – – – 附件 – – –
亲爱的先生或女士,
我们已经获悉,在过去几周里,您的networking范围内的IP地址已经成为DDoS攻击(DNS Reflection)中的开放式parsing器。
请参阅此消息的附件,了解networking范围内的开放式DNS服务器的IP地址。
—–日志文件—–
受影响的IP:176.9.1.67
谢谢,
我可以做什么来证实这一点,并确定这次袭击的起因?
谢谢生态
您不能识别攻击的来源 – 您的DNS服务器正在接收的数据包来自欺骗源地址。
基本上,攻击者正在发送伪造的源地址的数据包到您的DNS服务器。 他们问这个问题会导致大量的回复。 为了将您的DNS服务器用作攻击工具,攻击者正在欺骗他们想要使用垃圾stream量泛滥的主机的源地址,并指导大量的DNS服务器,就像您的DNS服务器一样,通过虚假响应来轰击该主机。 你的DNS服务器本身并没有被破坏或者做任何错误的事情,但是你不应该让你的DNS服务器把这些大的回应发送到Internet的任意问题上。
基本上,您需要重新configuration您的DNS服务器,不要向Internet提供recursionparsing服务。 您的DNS服务器应该仅回应其权威域名的请求。