我最近发现我的服务器正被用作DNS DDOS的一部分。 基本上,我的BIND设置允许recursion,它被用来利用IP欺骗攻击某个IP地址。
我采取了必要的措施来阻止这一点,并禁用recursion。 我不再是一个放大器,我猜想解决了这个大问题,但是我仍然在接受这个问题,BIND正在回答“拒绝”所有这些问题。
我只是好奇,知道我还能做些什么。 我认为我可能会configurationfail2ban来阻止他们,做类似于Debian的build议 ,但根据其他网站和合理的逻辑,这是不理想的,因为攻击者可以很容易地阻止任何IP访问我的服务器。
那么还有什么可以做的? 或者我应该等待攻击者放弃? 或者希望他们可以重新扫描,并把我作为一个放大器?
基本上,链接文章中描述的fail2ban设置将防火墙修改为DROP(有限时间)来自源IP的不允许查询您的DNS服务器的DNS查询。 不是一个坏主意,但是如果你没有为互联网提供一个或多个域名的权威DNS,那么为什么不忘记fail2ban,而只是把所有来自互联网的DNS查询全部丢弃?
如果你正在运行一个权威的DNS服务器,那么不幸的是,你不会忽略DNS查询。 在这种情况下,我不认为你有多lessselect,只能留下你想要的东西(recursionclosures),耐心地等待input的欺骗性stream量逐渐下降。 它肯定会很高兴能够configuration绑定本身静静地忽略它configuration为不回答的查询,但我不认为它具有该function。 (毕竟,这种行为在技术上会违反DNS协议。)Fail2ban确实提供了一种替代方法,但正如您所指出的,这并不理想。