我们的W2K3 DNS服务器似乎受到某种DOS攻击,但我似乎无法find任何关于攻击的描述或理由。
三台特定的远程主机用这样的线路轰炸了我们三台DNS服务器中的两台:
8937 891.093750 91.205.43.25 ns2.me.com DNS DNS: QueryId = 0xDA7C, QUERY (Standard query), Query for of type NS on class Internet 8938 891.218750 91.205.43.25 ns2.me.com DNS DNS: QueryId = 0xA504, QUERY (Standard query), Query for of type NS on class Internet 8939 891.219727 91.205.43.25 ns1.me.com DNS DNS: QueryId = 0x4E3F, QUERY (Standard query), Query for of type NS on class Internet 8940 891.370117 69.197.181.26 ns1.me.com DNS DNS: QueryId = 0xA8CC, QUERY (Standard query), Query for of type NS on class Internet 8941 891.372070 69.197.181.26 ns2.me.com DNS DNS: QueryId = 0xC808, QUERY (Standard query), Query for of type NS on class Internet 8942 891.476562 91.205.43.25 ns2.me.com DNS DNS: QueryId = 0xCC37, QUERY (Standard query), Query for of type NS on class Internet 8943 891.478516 91.205.43.25 ns1.me.com DNS DNS: QueryId = 0xEDEC, QUERY (Standard query), Query for of type NS on class Internet 现在已经有几十个这样的东西了。 每个攻击者都会连续尝试受攻击的服务器,尽pipe他们从不尝试我们的第三台服务器。
以下是每个数据包的详细信息示例:
Frame: + Ethernet: Etype = Internet IP (IPv4) + Ipv4: Next Protocol = UDP, Packet ID = 20114, Total IP Length = 45 + Udp: SrcPort = 23909, DstPort = DNS(53), Length = 25 - Dns: QueryId = 0xEDEC, QUERY (Standard query), Query for of type NS on class Internet QueryIdentifier: 60908 (0xEDEC) - Flags: Query, Opcode - QUERY (Standard query), RD, Rcode - Success QR: (0...............) Query Opcode: (.0000...........) QUERY (Standard query) 0 AA: (.....0..........) Not authoritative TC: (......0.........) Not truncated RD: (.......1........) Recursion desired RA: (........0.......) Recursive query support not available Zero: (.........0......) 0 AuthenticatedData: (..........0.....) Not AuthenticatedData CheckingDisabled: (...........0....) Not CheckingDisabled Rcode: (............0000) Success 0 QuestionCount: 1 (0x1) AnswerCount: 0 (0x0) NameServerCount: 0 (0x0) AdditionalCount: 0 (0x0) - QRecord: of type NS on class Internet QuestionName: QuestionType: NS, Authoritative name server, 2(0x2) QuestionClass: Internet, 1(0x1)
我们现在已经configuration了防火墙来简单地删除来自三个攻击者的请求,但是如果允许他们通过,我们的服务器会回复一个很长的回答,列出所有根提示服务器的名称(但不是地址),而且似乎这样做不piperecursion是否被打开。
任何人都知道这是关于什么? 我可以让传入的stream量停止,还是我阻止它在防火墙,直到他们感到无聊?
感谢您的任何信息,
保罗
这可能不是针对你的DoS – 它更有可能是你的机器被用来发送数据包给其他人。
这被称为“放大攻击”。 他们给你一个25字节的DNS请求 – 你发回〜500字节的根提示。
如果是这种情况,源IP地址实际上是被欺骗的,他们利用您的大量响应来增强DoS对这些欺骗性IP地址的影响。
在防火墙中丢弃数据包可能是目前最好的。
但是长期来看,真正的解决scheme是将DNS服务器configuration为针对服务器不具有权威性的任何查询返回REFUSED响应代码。 如果你这样做,那么你的服务器将不再是一个对其他人的未来放大攻击有用的工具。
也许回应Alnitak ,我不明白你的DNS服务器的目的。
他们是面向公众的权威服务器提供有关您的域的信息? 如果是这样,则不需要回应除权威以外的任何其他查询。 每秒10个请求不会听起来像任何你应该担心,如果你没有发送任何反应。
这是一个内部recursion/caching服务器 ,为内部用户提供服务吗? 如果是这样的话,应该有一个可以match-clients的view (使用BIND语法),而不是从networking外部接收请求。 如果你已经有了这些,并且请求来自你所控制的细分,那么,追捕那些客户!
你无法控制别人的行为。 即使你在服务器上修复这个响应,他们也可能决定继续前进,改变他们的攻击,而不仅仅是“感到无聊”。 既然你知道他们现在在哪里,我认为阻止他们在你的防火墙整个可能是你最好和最安全的select。
也就是说,你也想纠正你的服务器响应,以防止未来的攻击,即使你目前的攻击者只是交换IP。 但是其他人可以比我更好地帮助解决这个问题。