特定の監視トラフィックに対して一部のユーザーにサービスを提供しているUbuntu19.10VPSサーバーを入手しました。ユーザーは接続し、ファイルを読み取り、切断します。最近、ボットネットや害虫からのDNS要求に応答するだけで、前述のサーバーがDNS DDoS増幅攻撃に使用されていることに気づいたので、次のようなIPTABLESルールを定義してみました。
root@brohams ~# iptables-save -c
# Generated by iptables-save v1.6.1 on Mon Oct 14 09:26:44 2019
*filter
:INPUT ACCEPT [5748921:3396057055]
:FORWARD ACCEPT [2209544:2701483932]
:OUTPUT ACCEPT [6194165:6573791719]
[0:0] -A INPUT -i eth0 -p udp -m udp --dport 53 -j DROP
[182468:7298720] -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
[40:1692] -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j DROP
[2398:136716] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j DROP
[0:0] -A INPUT -i eth0 -p udp -m udp --dport 53 -j DROP
[0:0] -A INPUT -p udp -m udp --dport 53 -j DROP
COMMIT
# Completed on Mon Oct 14 09:26:44 2019
# Generated by iptables-save v1.6.1 on Mon Oct 14 09:26:44 2019
*nat
:PREROUTING ACCEPT [892666:157568071]
:INPUT ACCEPT [144360:14788753]
:OUTPUT ACCEPT [6862:425179]
:POSTROUTING ACCEPT [1:78]
[59:3020] -A PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination 8.8.8.8
[339793:21781969] -A PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination 8.8.8.8
[0:0] -A PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination 8.8.8.8
[0:0] -A PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination 8.8.8.8
[27192:4136927] -A POSTROUTING -s X.X.X.0/24 -o eth0 -j MASQUERADE
[336369:21533218] -A POSTROUTING -o eth0 -j MASQUERADE
[0:0] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Oct 14 09:26:45 2019
iptables -Lnv
の出力は次のとおりです。
root@brohams ~# iptables -L -n -v
Chain INPUT (policy ACCEPT 9417K packets, 5055M bytes)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
287K 11M DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
62 2668 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
686 31144 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
Chain FORWARD (policy ACCEPT 5106K packets, 5409M bytes)
pkts bytes target prot opt in out source destination
857K 61M ACCEPT all -- xx0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 10M packets, 11G bytes)
pkts bytes target prot opt in out source destination
興味深いことに、着信UDP DNS要求パケットはドロップされず、サーバーはまだそれらに応答しています。 TCPご覧のとおり、DNS要求はドロップされています。私のOSバージョンは次のとおりです。
root@brohams ~# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 19.04
Release: 19.04
Codename: disco
root@brohams ~# uname -romi
5.0.0-31-generic x86_64 x86_64 GNU/Linux
そして私のIPTABLESバージョンは次のとおりです。
root@brohams ~# iptables -V
iptables v1.6.1
[〜#〜] update [〜#〜]
VPSとは異なる宛先IPアドレスを持つ多くのDNSクエリが私のマシンに到達することに気づきました。
root@brohams ~# tcpdump -s0 -vvvvni eth0 port 53 | grep -i ddosvictim
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
172.217.40.8.36059 > x.x.179.4.53: [udp sum ok] 10363% [1au] A? victim.com. ar: . OPT UDPsize=4096 DO (57)
74.125.190.150.65259 > x.x.179.4.53: [udp sum ok] 4809% [1au] SOA? victim.com. ar: . OPT UDPsize=4096 DO (57)
141.101.70.60.59972 > x.x.179.4.53: [udp sum ok] 4272 [1au] A? victim.com. ar: . OPT UDPsize=1452 (46)
76.96.47.215.6328 > x.x.179.4.53: [udp sum ok] 38615 [1au] ANY? www.victim.com. ar: . OPT UDPsize=4096 DO (50)
64.135.1.20.28270 > x.x.179.4.53: [udp sum ok] 38218% [1au] AAAA? ns1.victim.com. ar: . OPT UDPsize=4096 DO (50)
ご覧のとおり、あらゆる種類のリクエストが大量にあり、数千に上ります(簡潔にするために出力は省略されています)。これらのパケットが私のVPSに到達することさえあるという事実は、本当に気が遠くなるようなものです。なぜこれが起こるべきですか?
これは、自分のサーバーにクエリを実行すると、PREROUTING
NATが指示どおりに実行していることがわかります。
root@brohams ~# tcpdump -s0 -vvvvni eth0 port 53 | grep -i distro
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
My.PC.83.162.36180 > My.VPS.183.141.53: [udp sum ok] 6595+ [1au] A? distrowatch.com. ar: . OPT UDPsize=4096 (56)
My.VPS.183.141.36180 > 8.8.8.8.53: [udp sum ok] 6595+ [1au] A? distrowatch.com. ar: . OPT UDPsize=4096 (56)
8.8.8.8.53 > My.VPS.183.141.36180: [udp sum ok] 6595 q: A? distrowatch.com. 1/0/1 distrowatch.com. [2h28m26s] A 82.103.136.226 ar: . OPT UDPsize=512 (60)
My.VPS.183.141.53 > My.PC.83.162.36180: [udp sum ok] 6595 q: A? distrowatch.com. 1/0/1 distrowatch.com. [2h28m26s] A 82.103.136.226 ar: . OPT UDPsize=512 (60)
このマシンは、どのタイプのDNSサーバーとしても構成されていません。これは、ほとんど接続しないVPNユーザーの再帰DNSサーバーとして機能するだけですが、この機能を持つことが重要です。また、インターフェイス(Eth0)は1つだけです。
このバージョンのIPTABLESで報告されたバグは見つかりませんでした。このタイプのトラフィックがまだ通過している理由と、それを停止する方法について何か考えはありますか?
P.S.ルールを再度追加するか、移動しようとしましたが、それでも同じです。
前もって感謝します
したがって、iptables -t nat -L
の出力は次のようになりました。
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:domain to:8.8.8.8
DNAT udp -- anywhere anywhere udp dpt:domain to:8.8.8.8
DNAT tcp -- anywhere anywhere tcp dpt:domain to:8.8.8.8
DNAT udp -- anywhere anywhere udp dpt:domain to:8.8.8.8
それは本当に奇妙でした。 iptables -t nat -D #
を発行してこれらのルールを削除したところ、DNSクエリがブロックされています。助けてくれたみんなに感謝します。心から感謝する。