Ich brauche euch Hilfe.
Ich verwende viele öffentliche IP-Adressen für Server, für die nur ein Port für den Dienst geöffnet ist. Und auch mit L3-Schalter für den Lastausgleich. (Ich habe sie für EXDNS, Pulic-Web usw. verwendet.)
In dieser Umgebung habe ich einige Pakete gefunden, die von vielen öffentlichen IPs mit 53 Ports zu meinen öffentlichen IPs mit einem beliebigen Port kamen, nicht von dem Port, den ich verwende. Und der Domainname war xxxx.x99moyu.net (Der niedrigste Teil der Domain wurde zufällig geändert.) Dies ist ein ACK-Paket und enthält die Antwort 127.0.0.1 für die Abfrage. Unsere Server senden jedoch niemals DNS-Anfragen für diese Domänen. Eines der Pakete, die ich habe, ist
* --------------------------------------------- -----------------
IPv4, Src: 171.125.150.23, Dst: 112.xxx (meine IP)
UDP, Src-Port: 53, Dst-Port: 54162
Domain Name System (Antwort)
Fragen: 1
Antwort RRs: 1
Abfragen: tnczmz.x99moyu.net: Typ A, Klasse IN
Antworten: tnczmz.x99moyu.net: Typ A, Klasse IN, Adresse 127.0.0.1
---------------------------- ---------------------------------------- *
Wenn ich diese Pakete zum ersten Mal gesehen habe, schreibe ein Szenario über einen DNS-Verstärkungsangriff. Wenn Sie DNS-Server im Internet und meine öffentliche IP für src.ip verwenden, erhält mein Server viele Antwortpakete von DNS-Servern. Die Ziele sind jedoch zu weit gefasst, um diesen Angriff erfolgreich durchzuführen, da über 200 Server diese Pakete erhalten haben und jeder Server nur 3-5 DNS-Antworten erhalten hat.
Wenn jemand eine ähnliche Erfahrung hat oder den Grund dafür kennt, lassen Sie es mich bitte wissen. Danke.
quelle
Ich bin kein Systemadministrator, sondern ein Programmierer, der DNS-Serversoftware schreibt. Ich sehe das gleiche Problem mit der Domain x99moyu.net auf unseren Testservern und auf Servern unserer Clients (IS-Anbieter). Dies wurde vor einiger Zeit von unserem Kunden, dem ISP-Anbieter, gemeldet. Sie beschwerten sich, dass sich ihr Netzwerk erheblich verlangsamte, also nahmen wir tcpdump-Proben und überprüften sie.
Was ich in Protokollen sehe, ist ein überfluteter Datenverkehr auf UDP, der mit A an Port 53 adressiert ist? Anfragen für xxx.x99moyu.net für nicht vorhandene Domainnamen. Pakete haben eine falsche UDP-Prüfsumme, daher erzeugen sie nur Parasitenverkehr im DNS-Netzwerk und laden Server. Bei einigen ISP-Servern macht es bis zu 2/3 des DNS-Verkehrsvolumens aus. Es lädt nicht viel Server, verlangsamt jedoch die Netzwerkgeschwindigkeit des Clients aufgrund zunehmender Verzögerungen bei den DNS-Antworten. Das ist also ziemlich nervig. Und ich sehe dasselbe auf einigen unserer Testserver, die keine öffentlichen DNS-Server sind. Ich gehe also davon aus, dass die Bots jeden Server angreifen, der Port 53 abhört. Der Bereich der Quell-IPs ist riesig. Ich habe nachgesehen, sie sehen aus wie konsequente Nummern (gefälschte Adressen). Für eine Weile weiß ich nicht, wie ich diesen Verkehr blockieren soll.
quelle