22 votos

Mi servidor DNS está empujando a 20mbps, ¿por qué?

Estoy ejecutando un servidor DNS en EC2, y fue empujando acerca de 20mbps ayer cuando me registré mi facturación tablero de instrumentos y se encontró 1.86 TB de datos usados en este mes. Eso es un gran proyecto de ley para mi pequeño proyecto de laboratorio. Nunca he notado que el rendimiento cae y no molestan a la instalación de tráfico threshholds antes, pero ahora tengo ya que esto me ha costado $200+ en cargos de ancho de banda.

Parece que alguien ha usado mi servidor DNS como parte de un ataque de amplificación, sin embargo estoy en una pérdida para saber cómo.

Config es la siguiente.

// BBB.BBB.BBB.BBB = ns2.mydomain.com ip address

options {
        listen-on port 53 { any; };
//      listen-on-v6 port 53 { ::1; };
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-transfer { BBB.BBB.BBB.BBB; };
        allow-query-cache { BBB.BBB.BBB.BBB; };
        allow-query { any; };
        allow-recursion { none; };

        empty-zones-enable no;
        forwarders { 8.8.8.8; 8.8.4.4; };

        fetch-glue no;
        recursion no;

        dnssec-enable yes;
        dnssec-validation yes;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
        type hint;
        file "named.ca";
};

zone "mydomain.com" IN {
        type master;
        file "zones/mydomain.com";
        allow-transfer { BBB.BBB.BBB.BBB; localhost; };
};

Dada esta configuración, NO se me debe responder a las consultas de la zona no me host local derecha? Este servidor es el SOA para un par de dominio, pero no se utiliza para buscar cualquier cosa por mis otros servidores (todos los que se resuelve en contra de OpenDNS o Google). Lo que la directiva ¿tengo mal aquí, o me estoy olvidando? Los registros de mi (63MB+) están llenos de esta:

client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied

20voto

Shane Madden Puntos 81409

Incluso si el servidor está configurado para sólo responder autorizado consultas como la tuya, es todavía posible para que pueda ser utilizado para la amplificación de ataque - ANY consultas contra la root de una zona puede desencadenar una bastante pesado respuesta UDP, desde la zona de la root tiende a tener un número de registros, en particular con SPF y DKIM/DNSSEC.

Esto es probablemente lo que está sucediendo en su sistema de uso de la tcpdump a confirmar. Si están usando su autoritaria registros en una amplificación de ataque, sus mejores opciones van a ser simplemente para mover a una nueva IP y espero que no siga, su cambio de zona root registros de hacer menos eficaz la amplificación del vector, o implementar la respuesta de la limitación de velocidad (si su ENLAZAR lo admite).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: