我最近发现我的服务器正被用作DNS DDOS的一部分。 基本上,我的BIND设置允许recursion,它被用来利用IP欺骗攻击某个IP地址。 我采取了必要的措施来阻止这一点,并禁用recursion。 我不再是一个放大器,我猜想解决了这个大问题,但是我仍然在接受这个问题,BIND正在回答“拒绝”所有这些问题。 我只是好奇,知道我还能做些什么。 我认为我可能会configurationfail2ban来阻止他们,做类似于Debian的build议 ,但根据其他网站和合理的逻辑,这是不理想的,因为攻击者可以很容易地阻止任何IP访问我的服务器。 那么还有什么可以做的? 或者我应该等待攻击者放弃? 或者希望他们可以重新扫描,并把我作为一个放大器?
我有两台运行BIND9的DNS服务器,一台主机和一台从机。 当区域文件在主服务器上更新时,我想让从服务器立即开始服务更改的logging,但是BIND给了我一些guff。 主区域和从区域之间的DNS区域传输已经正常工作。 我可以login到从服务器并运行dig @dnsmaster myzone. AXFR dig @dnsmaster myzone. AXFR并打印出该区域的全部内容。 为了做到这一点,DNS主服务器configuration了notify yes和also-notify { dnsslave } 。 同样,从站configuration了allow-transfer { dnsmaster } 。 当dnsmaster更新时,我运行rndc reload ,它告诉我通知正在发送。 这在slave上通过检查/var/named/slavedata/ 。 他们包含最新的数据,匹配主人所知道的。 现在来了怪异的一部分。 从属服务器将继续提供旧的,陈旧的DNSlogging,完全忽略在主服务器收到通知后磁盘上有新数据的事实。 我正在用dig命令检查结果: dig @slaveserver record.zone.tld 。 我以为BIND可能会保留其权威区域的内存caching,所以我设置max-cache-size和max-cache-ttl为0,但是没有效果。 我尝试了其他方法来刷新这个所谓的caching,通过在从服务器上运行诸如rndc flush和rndc reload类的命令,但它仍然返回旧的陈旧logging。 最后,我注意到该区域的MINTTL被设置为86400(24小时),所以我暂时将MINTTL改为15秒,然后重新启动从属服务器。 没有效果 – 从属服务重新启动后,只会提供更新的DNS结果。 这里发生了什么? 当接收到区域更新的通知时,BIND9的预期行为是什么? 它是否始终尊重TTL和MINTTL ? 我会假设它总是使用最新的可用数据。 在我的机智的结尾,我正在考虑设置一个crontab来重新启动BIND奴隶小时,只是为了避免提供陈旧的数据。 有更好的吗?
所以我得到了一个运行Debian 6.0的专用服务器的滥用投诉 果然,有时候, top显示/usr/bin/host使用大量的CPU没有明显的原因,而netstat显示进程host做了很多的HTTP请求。 之后,我的系统日志甚至说nf_conntrack: table full, dropping packet. ,我认为这件事情有关。 我已经使用debsumsvalidation了可执行文件/usr/bin/host ,似乎也很好。 这样的服务器也是100%更新的。 所以我猜测某事是不知何故调用我的host可执行文件,强迫它做一些DDoS的HTTP请求。 我当然可以在发生这种情况的时候尽快把脚本一起发送给killall host ,但是我真的很想知道问题出在哪里。 我正在检查Apache日志有趣的条目, host开始做它的请求,但还没有发现任何东西。 任何人都有build议,还有什么要做? 我怎样才能看到谁和什么叫'主机'? Google没有显示任何/usr/bin/host被滥用的例子!
我们有一台Macbook Air(实际上,我们有一些Airs,一些专业人士和一些iMac)。 我们遇到了一个令人讨厌的问题,就是当他们连接到我们的DHCP服务器时,他们实际上有两个不同的IP地址,导致我们的DHCP租约文件中设置了2个不同的IP地址,以及2个在我们的DNS(自动更新)。 在具有多个NIC的Linux工作站上,我们将它们绑定/组合到bond0中,并手动设置MAC地址等于绑定中的一个NIC。 这几乎修复了所有相关的ballache。 我只是尝试使用pipe理虚拟接口(networking中的高级设置,在适配器列表中的小齿轮下)绑定空气中的NIC。 我可以将eth0(USB以太网适配器)添加到绑定中,但是无线机场适配器没有显示出来。 以这种方式跨接口是不可能的? 还有另一种方法吗? 我们疯狂想要这样做吗? 有没有更好的办法?
有两个是互连的思科WS-2950T。 第一台交换机上的一个GBIC端口连接一个绑定接口的第一个网卡, 第二台交换机上的一个GBIC端口连接一个绑定接口的第二个网卡。 当然,两台交换机只能在一个接口上看到绑定的MAC地址(例如第一台交换机上的GBIC),绑定接口的所有入站stream量都要经过这个GBIC。 但在“mode = 5”中,所有出站stream量都在所有形成绑定的接口之间分配。 在这种情况下,数据包将从第二个交换机丢弃,反正会通过第一个交换机? 还是该部门将工作?
我有BIND9设置适当的logging器为我的域example.com , something.example.com实际上是工作… 当我有我的DHCP服务器指向这个DNS服务器时,我可以到webmin( https://something.example.com:10000 )指向它的服务器。 不过,我无法访问任何外部网站(google.ca,serverfault.com等) 我有我的转发器在named.conf.options文件中设置 options { directory "/etc/bind/"; allow-query-cache { none; }; allow-query { any; }; recursion yes; forwarders { 8.8.8.8; // Google's DNS Server 8.8.4.4; // '' }; }; //zones here for example.com and reverse dns 但它似乎并没有转发请求到他们的服务器。 我哪里错了? 有什么我可以做的探索获得更多的信息?
我有一个网站与一堆的同义词域。 该网站本身接受所有不同的域名,并redirect到正确的域名。 有没有任何理由不像这样configurationzones.conf : zone "correctdomain.com" { type master; file "correctdomain.zonefile"; }; zone "synonymdomain.com" { type master; file "correctdomain.zonefile"; }; 区域文件本身与域名无关。
这里是快速和肮脏的:在BIND9与视图之间共享的dynamic区域,做一个nsupdate,更新/创build/删除一个logging将工作正常,如果我从一个客户端查询该logging落入同一视图我做nsupdate从。 从一个与我以前用nsupdate 不一样的视图查询的时候,将会抛出NXDOMAIN(如果添加一条新logging),或者在更改/更新时显示旧的logging信息,直到某个任意长度的时间(比如说15分钟)通行证,或者我强制执行$ rndc freeze && rndc thaw 。 $ rndc sync似乎没有做任何事情来解决这个问题 – 我希望这只是一个日记文件的事情,因为日记刷新logging大约15分钟。 如果不清楚的话,下面是一些让我们开始的伪代码: BIND视图 view "cdn-redir" { match-clients { 10.1.1.0/24; 10.1.2.0/24; }; include "cdn-zone.db"; include "dynamic-zone.db"; }; view "default" { match-clients { any; }; include "dynamic-zone.db"; }; 示例命令行 user@ns:~$ nsupdate -k rndc.key > server localhost > zone example.com. > update add foohost.example.com. 600 […]
我的任务是在名称服务器上查看实施DNSSEC。 虽然技术方面(生成键,标志区,准备翻转)相对简单,但我遇到了一个后勤问题。 从我一直在阅读的文档中,1024位对于区域签名密钥来说是一个很好的尺寸,适当的过程是每个区域有一个ZSK,大约有一个月的翻转 然而,在一个合理的快速计算机上,需要10分钟的时间才能生成一个1024位的密钥…而ISP为超过三千个区域的主机工作。 除非我以某种方式从头到尾自动化这个过程,否则这是不可行的 – 即使我这样做了,到这个过程结束时,几乎是时候开始NEXT过渡。 总之,这是不可行的。 目前,我正在将DNSSEC限制在明确要求的客户身上,但这是最好的权宜之计。 我的问题: 我是否会用钥匙长度过度? 我怎样才能加快关键的生成过程? 我应该为每个区域还是ZSK创build个人密钥签名密钥? 编辑:添加我用来生成密钥的确切命令: caleburn: ~/Projects/Systemec/DNS-magic/DNSSEC/keys/ >time dnssec-keygen -r/dev/random -a RSASHA256 -f KSK -b 1280 -n ZONE example.com Generating key pair………………………..+++++ …+++++ Kexample.com.+008+10282 real 9m46.094s user 0m0.092s sys 0m0.140s caleburn: ~/Projects/Systemec/DNS-magic/DNSSEC/keys/ >time dnssec-keygen -r/dev/random -a RSASHA256 -b 1280 -n ZONE example.com Generating key pair…………………….+++++ ………+++++ […]
我有两台运行Ubuntu 15.04的HPBL685c G6刀片服务器 每台服务器都有4X10GB的网卡 2x10GB网卡连接到单个VirtualConnect 10 / 10G以太网模块 其他2x10GB NIC连接到第二个VirtualConnect 10 / 10G以太网模块 虚连接模块configuration为水平堆叠,位于互连托架1和2中 所引用的NIC都是embedded式的Flex-10适配器 当我分别configuration4个10GB网卡时,可以使用iperf进行testing,并且在每个网卡服务器之间接收〜10Gbit / sec的带宽。 这按预期工作。 服务器1: http : //d.pr/n/15dA5 服务器2: http : //d.pr/n/10pqJ iperf结果: http : //d.pr/i/pscU和http://d.pr/i/zh2E 现在,我试图使用绑定模式“balance-rr”来绑定每台服务器上的所有10GB网卡。 这些结果各不相同,但在2.5Gbits / sec和5Gbits / sec之间 服务器1: http : //d.pr/n/1aTei 服务器2: http : //d.pr/n/12Mqy iperf结果: http : //d.pr/i/1cvh0和http://d.pr/i/1eOgU 我使用相同的configuration在这些相同的服务器上绑定2X1GB网卡,使用iperf进行testing时,2X1GB网卡绑定的结果在〜2Gbit / sec带宽内。 这两个网卡没有连接到Virtual Connect Domain,而是分别连接到不同的Cisco […]