我需要你们帮忙
我正在使用大量的公共IP为服务器打开只有一个服务端口。 并且还使用L3开关进行负载平衡。 (我用它们做EXDNS,Pulic-web等)
在这个环境中,我发现有一些数据包是来自许多公共IP地址的,有53端口,而我的公网IP地址是任何端口,而不是我使用的端口。 而域名是xxxx.x99moyu.net(域的最低部分是随机更改的。)这是ACK数据包,包括答案127.0.0.1查询。 但是我们的服务器从来不会为这些域发送DNS查询。 我得到的包之一是
* ————————————————- —————–
IPv4,Src:171.125.150.23,Dst:112.xxx(my ip)
UDP,Src端口:53,Dst端口:54162
域名系统(响应)
问题:1
回答RRs:1
查询:tnczmz.x99moyu.net:typesA,类IN
答案:tnczmz.x99moyu.net:typesA,类IN,地址127.0.0.1
————————————————– —————— *
当我首先看到这些数据包时,写一个关于DNS放大攻击的警告。 在互联网上使用DNS服务器和我的公共IP为src.ip,那么我的服务器将从DNS服务器获得许多答案数据包。 但目标太广,无法成功进行这种攻击,因为超过200台服务器获得了这些数据包,而每台服务器只能得到3到5个DNS响应。
所以,如果任何人有类似的经历或知道它发生的原因,请让我知道。 谢谢。
对于源端口为53的远程数据包,四种情况之一通常是这种情况:
很多人误认为#1是他们的服务器(#3)的攻击。 您必须查看传入stream量的数量,因为您不抱怨带宽因此被扼杀,所以不太可能。 我们来统治#3。
我们的下一个提示是查询名称: tnczmz.x99moyu.net 。 这样的名字对于那些在过去几年中运行大容量recursionDNS服务器的人来说是很熟悉的(并且一直在关注):这是一个“伪随机子域”,也就是“水酷刑”攻击 。 在这里我不会详细讨论这个细节,但是我们的想法是在一个域下生成数以千计的不可caching的随机查询,这样所有的请求都会发送给域名的域名服务器,而这个域名是攻击的真正受害者。 在这种情况下,他们是Cloudflare的名称服务器:
$ dig +short x99moyu.net NS darwin.ns.cloudflare.com. uma.ns.cloudflare.com.
由于我非常肯定你不是Cloudflare的服务器pipe理员,我们现在需要考虑数据包的方向,以排除#1。 以下是我们需要处理的内容:
中国的IP正在向您发送DNS答复数据包。 我们知道他们是回复数据包,因为他们包含一个DNS答案部分。 由于您或此远程IP都不是由Cloudflare所有(其名称服务器pipe理域),因此我们可以假设其中一个IP被欺骗。 鉴于攻击的受害者(Cloudflare)以及攻击是如何运作的,这里最有可能被欺骗的地址就是你的。 这将使中国IP成为接收recursion查询的服务器。
我的结论是,你既不是攻击的目标,也不是参与攻击的目标(这种情况往往不是,你很幸运)。 这是#4的一个例子:你的源IP被欺骗作为其他人的一部分,在对Cloudflare进行攻击时覆盖他们的踪迹。
事后看来,#2依然是可能的。 即使持有IP的服务器没有提供DNS侦听器,您的服务器也可能受到威胁,并运行生成查询的恶意软件。 这假定您的数据包捕获忽略了出站查询,当然。 (对我来说,这是不好的假设,这将被注意到)
我不是系统pipe理员,而是编写DNS服务器软件的程序员。 我在我们的testing服务器上和我们的客户(IS提供商)的服务器上看到与域x99moyu.net相同的问题。 这是我们的客户,ISP提供商不久前报道的。 他们抱怨他们的networking显着减速,所以我们拿了tcpdump样本并检查了它们。
我在日志中看到的是UDP上泛滥的stream量,发往53端口,A? 请求xxx.x99moyu.net,为不存在的域名。 数据包有错误的UDP校验和,所以他们只是在DNSnetworking和负载服务器上创build寄生通讯。 它为一些ISP服务器提供了2/3的DNSstream量。 它不会加载服务器,但是由于DNS答案的延迟增加,它会降低客户端的networking速度。 所以这很烦人 我在一些我们的testing服务器上看到的也不是公有的DNS服务器。 所以我认为机器人攻击他们可以发现的端口53的任何服务器。源IP的范围是巨大的。 我检查,他们看起来像后续数字(欺骗地址)。 有一段时间,我不知道如何阻止这种stream量。