Почему мой DNS-сервер нажимает 20 Мбит /с?

Я запускаю DNS-сервер в EC2, и вчера он загружал около 20 Мбит /с, когда я проверил свою платежную панель и нашел 1,86 Тбайта использованных данных в этом месяце. Это большой счет для моей небольшой проектной лаборатории. Я никогда не замечал снижения производительности и не беспокоился о настройке трафика, но у меня сейчас, так как это стоило мне 200 долларов + за пропускную способность.

Кажется, кто-то использовал мой DNS-сервер в рамках атаки на усиление, однако я не понимаю, как это сделать.

Конфигурация ниже.

// BBB.BBB.BBB.BBB = ns2.mydomain.com ip address

options {
        listen-on port 53 { any; };
//      listen-on-v6 port 53 { ::1; };
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-transfer { BBB.BBB.BBB.BBB; };
        allow-query-cache { BBB.BBB.BBB.BBB; };
        allow-query { any; };
        allow-recursion { none; };

        empty-zones-enable no;
        forwarders { 8.8.8.8; 8.8.4.4; };

        fetch-glue no;
        recursion no;

        dnssec-enable yes;
        dnssec-validation yes;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
        type hint;
        file "named.ca";
};

zone "mydomain.com" IN {
        type master;
        file "zones/mydomain.com";
        allow-transfer { BBB.BBB.BBB.BBB; localhost; };
};

Учитывая эту конфигурацию, я НЕ должен отвечать на любые запросы для зоны, в которой я локально не локально? Этот сервер является SOA для нескольких доменов, но не используется для просмотра каких-либо других моих серверов (каждый решает проблему с OpenDNS или Google). Какую директиву я имею здесь неправильно, или я забываю? Мои журналы (63MB +) полны:

client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
22 голоса | спросил Russell Anthony 14 WedEurope/Moscow2016-12-14T22:00:47+03:00Europe/Moscow12bEurope/MoscowWed, 14 Dec 2016 22:00:47 +0300 2016, 22:00:47

1 ответ


19

Даже если ваш сервер настроен на то, чтобы отвечать только на авторизированные запросы, как ваш, это все еще возможно для его использования для усиления атаки - ANY запросы к корню зоны могут вызвать довольно тяжелый ответ UDP, так как корень зоны имеет тенденцию иметь несколько записей, особенно с SPF /DKIM /DNSSEC.

Скорее всего, что происходит в вашей системе - используйте tcpdump для подтверждения. Если они используют ваши авторитетные записи в усиленной атаке, ваши лучшие варианты состоят в том, чтобы просто перейти на новый IP-адрес и надеяться, что они не последуют, измените ваши корневые записи зоны, чтобы сделать его менее эффективным вектором усиления или реализовать (если ваш BIND поддерживает его).

ответил Shane Madden 14 WedEurope/Moscow2016-12-14T22:57:09+03:00Europe/Moscow12bEurope/MoscowWed, 14 Dec 2016 22:57:09 +0300 2016, 22:57:09

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132