在我们的公共DNS服务器上收到一封关于滥用的电子邮件
由于IP地址是公共的,我们在公共networking上有几台虚拟机。 今天我们收到了以下电子邮件:
我们已收到以下投诉xxx.xxx.xxx.xxx。 请调查,采取任何必要的措施,并在24小时内回复此电子邮件,提供完整的解决scheme详细信息,以避免TOS违规行为中止和/或终止。 为了确保所有的沟通都被收到,请不要打开支持票。 只需回复此电子邮件,我们将与您联系。 只有在需要技术人员暂停服务器时才打开支持服务单。
| ————————————————- ————— | | 在这行下面是我们收到的投诉的一个例子:| | ————————————————- ————— |
主题:用于攻击的开放recursionparsing器:xxx.xxx.xxx.xxx正文:您似乎正在运行一个开放的recursionparsing器,IP地址为xxx.xxx.xxx.xxx,它参与了我们客户的攻击,生成对欺骗性查询的大量UDP响应,这些响应由于其大小而变得碎片化。
请考虑用以下一种或多种方式重新configurationparsing器:
- 为了只为客户提供服务并且不响应外部IP地址(在BIND中,这是通过在“allow-query”中定义一组有限的主机来完成的;对于Windows DNS服务器,您将需要使用防火墙规则来阻止外部访问到UDP端口53)
- 为了只提供权威的域(在BIND中,这是通过在整个服务器的“allow-query”中定义一组有限的主机,但是为每个区域设置“allow-query”为“any”来完成的)
- 要限制对单个源IP地址的响应(例如使用DNS响应速率限制或iptables规则)
有关此类攻击的更多信息以及各方可以采取哪些措施来缓解攻击,请访问: http : //www.us-cert.gov/ncas/alerts/TA13-088A
如果您是ISP,请查看您的networkingconfiguration,并确保不允许欺骗性stream量(假装来自外部IP地址)离开networking。 允许欺骗性stream量的主机使得这种攻击成为可能。
在这次攻击中,来自parsing器的DNS响应示例如下:= 20date/时间戳(最左边)是UTC。
…删除隐藏IP地址
(在上面的输出中,我们客户的IP地址的最后八位字节被屏蔽,因为当包含多个IP地址时,一些自动分析器变得混乱,该八位字节的值是“185”。)
我跟着这个链接:
https://www.us-cert.gov/ncas/alerts/TA13-088A
从它告诉我的情况来看,那些邪恶的人正在使用我们的服务器来引起拒绝服务攻击,至less这是我从链路上收集到的。
这表明我们做了以下改变:
我的问题是,这将导致与networking上的其他虚拟机的问题,这将解决这个问题? 是否有任何影响做出这一改变?
任何有处理这个问题的build议? 我们有3个域控制器,我们可能需要调整以防止这种情况。
先谢谢了!
编辑#1
如果我们将防火墙规则设置为只包含我们在52端口上的IP地址,那么能解决我们的问题吗? 只是一个想法。
您应该禁用任何面向Internet的DNS服务器上的recursion查询。 允许传入的Internet访问您的域控制器可能不是一个好主意。 阻止recursion将会破坏使用您的域控制器作为其DNS服务器的任何主机的DNS。 在这种情况下configuration防火墙规则只允许端口53上的传出访问(和回复)。
如果您要将域上的地址发布到Internet,则应该由单独的DNS服务器完成。 为了这种目的,使用域名注册商是很常见的。
某些DNS软件能够在分裂脑模式下运行,在这种模式下,它们向Internet提供有限的一组服务,并且可以完全recursion访问本地networking。 我不知道你的情况是否可行。