我有一个令人不安的问题,现在几个星期…我的三个DNS服务器之一(运行bind9作为Plesk DNS主服务器的从服务器)正在发送无谓的DNS请求垃圾邮件。 这些请求的来源IP来自世界各地,所以我不能仅仅通过iptables来丢弃IP范围或整个国家。
这里有几条日志,所以你可以看到这些“攻击”的scheme:
10-May-2015 11:15:54.714 client 120.87.202.161#47441: query: sjgzincrmxobabst.www.luzhiye.com IN A + (my-ip) 10-May-2015 11:15:56.252 client 111.187.196.51#41387: query: mrcf.www.330dp.com IN A + (my-ip) 10-May-2015 11:15:56.806 client 89.90.44.173#56673: query: qzwp.www.330dp.com IN A + (my-ip) 10-May-2015 11:15:57.891 client 116.93.242.237#55721: query: srapafupglkxaver.www.330dp.com IN A + (my-ip) 10-May-2015 11:15:59.611 client 123.153.92.59#20847: query: yj.www.330dp.com IN A + (my-ip) 这些请求并不是真正的攻击,因为主机服务器非常轻松。 我试图阻止与iptables的请求,但几分钟/小时后,请求的域名正在改变,所以我没有机会这样做。
Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- anywhere anywhere STRING match "888fy.com" ALGO name bm TO 65535 DROP all -- anywhere anywhere STRING match "taohua.me" ALGO name bm TO 65535 DROP all -- anywhere anywhere STRING match "yymo.us" ALGO name bm TO 65535 DROP all -- anywhere anywhere STRING match "taohuazu.cc" ALGO name bm TO 65535 DROP all -- anywhere anywhere STRING match "taohua.me" ALGO name bm TO 65535 DROP all -- anywhere anywhere STRING match "227x.com" ALGO name bm TO 65535
有没有人有这种“攻击”的经验? 如何阻止它? 我试图closures整个服务器48小时。 重启之后再也没有发生过攻击,但是几个小时后又重新开始了。
configuration(named.conf.local / named.conf.options):
dnssec-validation auto; allow-new-zones yes; notify master-only; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; statistics-file "/var/cache/bind/named.stats"; zone-statistics yes; controls { inet * port 953 allow { plesk-ip; 127.0.0.1; } keys {"rndc-key"; }; }; logging { channel b_query { file "/var/log/bind9/query.log" versions 2 size 1m; print-time yes; severity info; }; category queries { b_query; }; };
我跑了几个在线testing,再次validation我的DNS服务器不是一个开放的parsing器。 成功: 没有find开放的parsing器。
帮助真的很感激!