最近我发现我的服务器产生了比平常多得多的stream量。
通常情况下,我每天大约有1-10 Mb,因为服务器只能作为电子邮件和静态网站的主机。
但是,在过去的三天里,它每天产生超过200 Mb的数据。
虽然我没有完全弄清楚这个问题,但对我来说,以下情况似乎非常可疑。
从控制台运行tshark时,我会得到像这样的连续请求:
19.825601 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com 19.831944 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com 19.842562 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com 19.844480 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com 19.846354 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net 19.846561 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net 19.848314 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com 19.851613 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com 19.851625 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net 19.852715 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com 19.854063 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net 19.866565 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com 19.866582 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com 19.870774 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com 虽然我知道TXT基本上是什么,但这对我来说没有任何意义。
当我读取DNS TXTlogging时,它只是包含对我没有任何意义的数据。
问题是:
你们知道TXT数据的含义吗?你能告诉我这里一般的危险性是什么吗? 也许我的服务器被攻破,这些查询有更深的含义,或者是另一个问题的前兆? 这个beeing说,我有一个虚拟的DNS服务器运行在机器上,总是提供一个静态的响应(类似于从NXD域的OpenDNS回退)。
直到现在我已经closures了进程,并通过iptables阻止了IP。 然而,这些请求仍然在tshark中显示,这是因为tshark捕获我认为的数据包的级别。