DNSクエリログをオンにしました。「tail-f/var/log/syslog」を実行すると、単一のIPアドレスから何百もの同一のリクエストを受け取ることがわかります。
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#10856: query: mydomain.de IN ANY +
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#44334: query: mydomain.de IN ANY +
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#15268: query: mydomain.de IN ANY +
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#59597: query: mydomain.de IN ANY +
頻度は1秒あたり約5〜10リクエストで、約1分間続きます。その後、同じ効果が別のIPアドレスから繰り返されます。 「whois [ipaddr]」によると、約25のIPアドレスからの約10000のリクエストを、わずか2時間以内に記録しました。これらはすべて中国からのものです。
ここで何が起こっているのですか?私のネームサーバーは攻撃を受けていますか?これについて何かできますか?
ここで何が起こっているのですか?私のネームサーバーは攻撃を受けていますか?これについて何かできますか?
ここで何が起こっているのですか?
変更されたログエントリから判断することは不可能です。ここにいくつかの可能性があります:
私のネームサーバーは攻撃を受けていますか?
少数のIPからの5〜10のDNS要求/秒で?疑わしい。私が知っているほとんどのDNS攻撃は、特別に細工されたリクエストを使用して、サーバーの内部機能を台無しにしたり、サーバーのリソースを圧倒したりします。一般的に、あなたが尋ねなければならない場合、あなたは攻撃を受けていません。
これについて何かできますか?
確かに、ファイアウォールで問題のあるIPをブロックするか、aforementioend Fail2Ban ツールをインストールできます。
しかし、あなたはすべきですか?
DNSサーバーの全体の仕事は、要求に応答することであることを忘れないでください。クエリログをオンにして出力を確認した後、これに気づきました。クレイジーなCPU使用率が見られますか?ネットワークIO?他の既知の正当なリクエストは、リソースの競合が原因で処理されなくなりますか?
そうでない場合、なぜそれらをブロックしますか?プロトコルを設計どおりに機能させます。よりクリーンなログが必要な場合は、問題を診断する必要があるまでクエリログをオフにします。
誰かがDNSサーバーを悪用して、IPアドレスに対して増幅攻撃を実行しています121.12.173.191
、これは攻撃者によってスプーフィングされています。
DNSは主にコネクションレスプロトコルであるUDPを使用するため、クエリの送信元アドレスをスプーフィングし、(より大きな)応答をそのスプーフィングされたアドレスの実際の所有者に送り返すのは簡単です。
増幅を実現するためのANY
クエリの使用は、DNSサークルではよく知られていますが、ハッカーによる誤用が比較的最近見られただけです。
それは可能性が高いインバウンドパケットのIP TTLを監視した場合、それらは一貫性がないことを示しています-スプーフィングされたパケットは、すべて同じものであるように見えても、多くの異なるパスを使用して到達していることを示しています場所。
1秒あたり5〜10パケットしか表示されない可能性がありますが、攻撃者は他の多くのホストを使用してターゲットアドレスを飽和させます。
これが自動スキャン、スパム配信、またはその他の原因によるものかどうかはわかりません。しかし、あなたができることは、fail2banをインストールし、定義された時間間隔ごとにあまりにも多くのDNS要求をブロックするように構成することです。
うまくいけば、このリンクがあなたを助けるでしょう: http://www.debian-administration.org/article/Blocking_a_DNS_DDOS_using_the_fail2ban_package
1秒あたり5〜10の要求はそれほど多くはなく、通常は攻撃の兆候ではありません(ただし、不正な形式のクエリを実行したり、何らかのエクスプロイトを使用してBINDの脆弱性を介してシステムアクセスを取得しようとしたりする場合を除きます...たぶん誰かが遊んでいるだけですスクリプトを使用するか、DNSサーバーを参照として使用していくつかのサンプルコードを中国のフォーラムに投稿したか、一部のドメインについて再帰的なクエリを実行しようとしているボットです(ロギングセクションのBIND confファイルでtatを確認する必要があります http ://www.zytrax.com/books/dns/ch7/logging.html 彼らが行っているクエリの種類を調べるだけで)リクエストの量が少ないことを考えると(DNSインフラストラクチャがそれで生き残ることができることを願っています!) 2つの可能性があります:
1-中国のIPアドレスをまとめてブロックします(チェック http://www.find-ip-address.org/ip-country/ )
2-iptablesを使用して、接続数をIPごとに1秒あたり3に制限します
iptables -A INPUT -s ipaddress -p udp --dport 53 -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -s ipaddress -p udp --dport 53 -j DROP
同時接続を制限すると、これを任意のIPアドレスに適用すると、正当なクライアントの正当なクエリがタイムアウトし、DNSを使用するクライアント/サーバーのブラウジング速度が低下するため、問題が発生する可能性があることに注意してください...
ステートレスプロトコルの自動ブロックとレート制限に注意してください
ブロックしてはいけないものをホワイトリストに登録して使用しないでください。
中国のことは孤立した事件ではありません。理由はわかりませんが、スキャンは永続的で体系的です。
次の投稿によると、これは新しい現象ではありませんが、これまでのところ説明はありません。
http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/