DNSサーバーが20mbpsをプッシュしていますが、なぜですか?
EC2でDNSサーバーを実行していて、昨日請求ダッシュボードを確認したところ、約20mbpsを押していましたが、今月は1.86 TB使用データの使用量)が見つかりました。これは私の小さなプロジェクトラボにとって大きな請求です。 。以前はパフォーマンスの低下に気づかなかったし、トラフィックのしきい値を設定する必要もありませんでしたが、帯域幅の使用料として200ドル以上の費用がかかったので、今はそうです。
誰かが増幅攻撃の一部として私のDNSサーバーを使用したようですが、私はその方法について途方に暮れています。
設定は以下の通りです。
// BBB.BBB.BBB.BBB = ns2.mydomain.com ip address
options {
listen-on port 53 { any; };
// listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-transfer { BBB.BBB.BBB.BBB; };
allow-query-cache { BBB.BBB.BBB.BBB; };
allow-query { any; };
allow-recursion { none; };
empty-zones-enable no;
forwarders { 8.8.8.8; 8.8.4.4; };
fetch-glue no;
recursion no;
dnssec-enable yes;
dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "mydomain.com" IN {
type master;
file "zones/mydomain.com";
allow-transfer { BBB.BBB.BBB.BBB; localhost; };
};
この構成の場合、ローカルでホストしていないゾーンのクエリには応答しないでください。このサーバーはSOA=いくつかのドメインの場合ですが、他のサーバーによる検索には使用されません(誰もがOpenDNSまたはGoogleに対して解決します)。ここでどのディレクティブが間違っているか、または忘れましたか?私のログ(63MB +)はこれでいっぱいです:
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
サーバーが信頼できるクエリにのみ応答するように設定されている場合でも、増幅攻撃に使用される可能性があります。ゾーンのルートに対するANYクエリは、かなり重いUDP応答をトリガーする可能性があります。ゾーンのルートには、特にSPF/DKIM/DNSSECの場合、多数のレコードが含まれる傾向があります。
これはおそらくシステムで何が起こっているかです-確認するにはtcpdumpを使用してください。増幅攻撃で信頼できるレコードを使用している場合、最善のオプションは、新しいIPに移動して、それらが従わないことを期待するか、ゾーンのルートレコードを変更して増幅ベクトルの効果を下げるか、または実装することです。応答速度制限(BINDがサポートしている場合)。