今天,我要求我的主机端阻止除端口53以外的所有UDP端口。由于每天的UDP攻击,这是当前唯一的选项,以停止淹没我的线路。
现在这个街区已经到位了,我什么都不能做了。
[root@s1 wupload]# wget http://www.google.com --2011-08-15 11:56:28-- http://www.google.com/ Resolving www.google.com... failed: Temporary failure in name resolution. wget: unable to resolve host address `www.google.com' 它自己的服务器上没有任何改变。 只在路由器级别。 端口53仍然是开放的,我看到命中通过iptables进来。
我运行CentOS64 5.6。
哪些其他端口需要打开wget和cURL才能正常工作?
要parsing一个主机,你需要UDP 53 传出 (我假设你在一个有状态的防火墙后面)。 要使用默认端口选项使用wget和curl,您将需要TCP 80 传出 。 您将不需要任何传入端口用于此特定目的。
要检查是否可以parsing主机,可以使用dig命令。 如果您希望使用OpenDNSparsingwww.google.com,请input以下命令:
dig @ 208.67.222.222 http://www.google.com
你应该得到以下答案:
; <<>> DiG 9.7.3 <<>> @208.67.222.222 ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55450 ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;. IN NS ;; ANSWER SECTION: . 516333 IN NS d.root-servers.net. . 516333 IN NS l.root-servers.net. . 516333 IN NS h.root-servers.net. . 516333 IN NS k.root-servers.net. . 516333 IN NS g.root-servers.net. . 516333 IN NS i.root-servers.net. . 516333 IN NS f.root-servers.net. . 516333 IN NS c.root-servers.net. . 516333 IN NS j.root-servers.net. . 516333 IN NS a.root-servers.net. . 516333 IN NS m.root-servers.net. . 516333 IN NS b.root-servers.net. . 516333 IN NS e.root-servers.net. ;; Query time: 36 msec ;; SERVER: 208.67.222.222#53(208.67.222.222) ;; WHEN: Mon Aug 15 19:17:11 2011 ;; MSG SIZE rcvd: 228
挖掘的答案可能会有所不同主机之间,但你不应该得到任何空的“答案部分”。
如果你可以使用OpenDNS解决,但不使用wget或curl,这意味着你的系统没有configurationDNS服务器。 如果是这种情况,请考虑编辑/etc/resolv.conf
他们阻止绑定到除53以外的所有UDP端口的入站stream量 – 这对您所在位置的面向互联网的DNS服务器非常有用,但对于客户端parsing来说并不是那么好。
DNS客户端发送绑定到端口53的stream量,具有高源端口; DNS服务器的响应具有源端口53和客户端使用的高端口的目标端口。
所以,你的ISP的filter已经在你的DNS分辨率下了。 如果他们打开了DNS客户端可能使用的整个范围,那么可能会导致大量泛滥; 同样,限制源端口为53并不能保证阻塞精心devise的洪水。
最好的解决scheme可能是让您的所有客户端parsing由特定的上游DNSparsing器完成,并让您的提供者免除UDPfilter中的这些系统。