自建的 dnsmasq 被人用于放大攻击,怎么办

2014-09-30 11:29:21 +08:00
 lhbc
本来是建来自用,加上防污染。
现在被人用于放大攻击,请求量非常大
请问怎么屏蔽这些攻击啊

Sep 30 11:25:44 dnsmasq[15372]: query[A] epctiheb.www.s88822.com from 88.211.183.171
Sep 30 11:25:45 dnsmasq[15372]: query[A] qporilwf.www.s88822.com from 82.46.0.226
Sep 30 11:25:45 dnsmasq[15372]: query[A] mpibilkncnwbwb.www.S99933.com from 86.118.208.44
Sep 30 11:25:45 dnsmasq[15372]: query[A] dbumzvloh.www.S88855.com from 94.165.9.7
Sep 30 11:25:45 dnsmasq[15372]: query[A] qdcjsrwfmpwr.www.080.com from 121.194.43.52
Sep 30 11:25:45 dnsmasq[15372]: query[A] ebcxsdcvyhuj.www.S99933.com from 39.229.232.1
Sep 30 11:25:46 dnsmasq[15372]: query[A] vkvxixmnjohqnog.www.S11888.com from 58.62.37.62
Sep 30 11:25:46 dnsmasq[15372]: query[A] x.www.S99933.com from 56.146.33.196
Sep 30 11:25:47 dnsmasq[15372]: query[A] gchsblceegp.www.S88855.com from 85.218.71.173
Sep 30 11:25:47 dnsmasq[15372]: query[A] cpkbgjqfmxmhqp.www.080.com from 126.207.94.210
Sep 30 11:25:47 dnsmasq[15372]: query[A] gxuxatelurqjcp.www.S11888.com from 89.54.39.39
Sep 30 11:25:47 dnsmasq[15372]: query[A] pxyjtgibiqa.www.S99933.com from 6.138.41.27
Sep 30 11:25:48 dnsmasq[15372]: query[A] rsoyjzeci.www.S88855.com from 62.102.20.82
Sep 30 11:25:48 dnsmasq[15372]: query[A] otgbkdaxqxuj.www.080.com from 85.101.17.224
Sep 30 11:25:49 dnsmasq[15372]: query[A] nbcqefthiwxym.www.1809.com from 121.143.78.163
Sep 30 11:25:49 dnsmasq[15372]: query[A] shotivsxefixyp.www.S99933.com from 119.192.175.56
Sep 30 11:25:50 dnsmasq[15372]: query[A] zwh.www.S11888.com from 5.40.157.10
4520 次点击
所在节点    问与答
10 条回复
tms
2014-09-30 11:42:53 +08:00
只允许自己的IP使用
lhbc
2014-09-30 13:44:51 +08:00
@tms 服务器放在公网,手机之类的太多动态IP了
liyaoxinchifan
2014-09-30 13:50:40 +08:00
你用的是VPS吗,我VPS上的BIND之前同样被攻击了,服务商直接后台给我发tk,不解决就要关VPS...
AstroProfundis
2014-09-30 13:54:48 +08:00
dnsmasq 监听在本地非标准端口,前面套一层bind指定上游为本地的dnsmasq的端口,然后bind上面设置相应频率限制(RRL),centos系这个功能是已经打开了的,archlinux可以用aur里面我打包的 bind-rl 别的发行版没试过... https://kb.isc.org/article/AA-01000/0/A-Quick-Introduction-to-Response-Rate-Limiting.html
lhbc
2014-09-30 16:55:21 +08:00
@liyaoxinchifan 我的是国内的服务器
google456
2014-09-30 16:55:30 +08:00
别人怎么会知道的???
lhbc
2014-09-30 17:04:05 +08:00
@AstroProfundis 这个方法不错

因为DNS和VPN架在一起,VPN会下发路由给客户端
下午修改了下架构,服务器绑多一个内网IP,VPN把这个内网的路由下发到VPN客户端,dnsmasq只绑这个内网IP
测试Windows、OS X、iOS、Android的VPN客户端均无问题
暂时解决了这个问题
lhbc
2014-09-30 17:06:40 +08:00
@google456 攻击者要发动这种攻击,肯定会扫遍全球IP的53端口
各种常见端口都有人扫。以前有同事上新服务器,root用了弱密码,没改SSHD端口,上架一两个小时就被黑了
所以目前国内运营商的DNS,都只限省内IP访问
AstroProfundis
2014-09-30 21:18:49 +08:00
@lhbc 哦哦VPN用不需要给外网访问,你这样更好,我是搞了个类似公共DNS的东西自己用,就只能这样蛋疼地绕一下_(:зゝ∠)_
aveline
2014-10-01 00:57:44 +08:00
我所有的递归 DNS 服务器都部署了这个黑名单,挺好用的 :-)
https://github.com/smurfmonitor/dns-iptables-rules

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/136505

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX