V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lhbc
V2EX  ›  问与答

自建的 dnsmasq 被人用于放大攻击,怎么办

  •  
  •   lhbc · 2014-09-30 11:29:21 +08:00 · 4598 次点击
    这是一个创建于 3740 天前的主题,其中的信息可能已经有所发展或是发生改变。
    本来是建来自用,加上防污染。
    现在被人用于放大攻击,请求量非常大
    请问怎么屏蔽这些攻击啊

    Sep 30 11:25:44 dnsmasq[15372]: query[A] epctiheb.www.s88822.com from 88.211.183.171
    Sep 30 11:25:45 dnsmasq[15372]: query[A] qporilwf.www.s88822.com from 82.46.0.226
    Sep 30 11:25:45 dnsmasq[15372]: query[A] mpibilkncnwbwb.www.S99933.com from 86.118.208.44
    Sep 30 11:25:45 dnsmasq[15372]: query[A] dbumzvloh.www.S88855.com from 94.165.9.7
    Sep 30 11:25:45 dnsmasq[15372]: query[A] qdcjsrwfmpwr.www.080.com from 121.194.43.52
    Sep 30 11:25:45 dnsmasq[15372]: query[A] ebcxsdcvyhuj.www.S99933.com from 39.229.232.1
    Sep 30 11:25:46 dnsmasq[15372]: query[A] vkvxixmnjohqnog.www.S11888.com from 58.62.37.62
    Sep 30 11:25:46 dnsmasq[15372]: query[A] x.www.S99933.com from 56.146.33.196
    Sep 30 11:25:47 dnsmasq[15372]: query[A] gchsblceegp.www.S88855.com from 85.218.71.173
    Sep 30 11:25:47 dnsmasq[15372]: query[A] cpkbgjqfmxmhqp.www.080.com from 126.207.94.210
    Sep 30 11:25:47 dnsmasq[15372]: query[A] gxuxatelurqjcp.www.S11888.com from 89.54.39.39
    Sep 30 11:25:47 dnsmasq[15372]: query[A] pxyjtgibiqa.www.S99933.com from 6.138.41.27
    Sep 30 11:25:48 dnsmasq[15372]: query[A] rsoyjzeci.www.S88855.com from 62.102.20.82
    Sep 30 11:25:48 dnsmasq[15372]: query[A] otgbkdaxqxuj.www.080.com from 85.101.17.224
    Sep 30 11:25:49 dnsmasq[15372]: query[A] nbcqefthiwxym.www.1809.com from 121.143.78.163
    Sep 30 11:25:49 dnsmasq[15372]: query[A] shotivsxefixyp.www.S99933.com from 119.192.175.56
    Sep 30 11:25:50 dnsmasq[15372]: query[A] zwh.www.S11888.com from 5.40.157.10
    10 条回复    2014-10-01 00:57:44 +08:00
    tms
        1
    tms  
       2014-09-30 11:42:53 +08:00
    只允许自己的IP使用
    lhbc
        2
    lhbc  
    OP
       2014-09-30 13:44:51 +08:00 via iPhone
    @tms 服务器放在公网,手机之类的太多动态IP了
    liyaoxinchifan
        3
    liyaoxinchifan  
       2014-09-30 13:50:40 +08:00
    你用的是VPS吗,我VPS上的BIND之前同样被攻击了,服务商直接后台给我发tk,不解决就要关VPS...
    AstroProfundis
        4
    AstroProfundis  
       2014-09-30 13:54:48 +08:00   ❤️ 1
    dnsmasq 监听在本地非标准端口,前面套一层bind指定上游为本地的dnsmasq的端口,然后bind上面设置相应频率限制(RRL),centos系这个功能是已经打开了的,archlinux可以用aur里面我打包的 bind-rl 别的发行版没试过... https://kb.isc.org/article/AA-01000/0/A-Quick-Introduction-to-Response-Rate-Limiting.html
    lhbc
        5
    lhbc  
    OP
       2014-09-30 16:55:21 +08:00
    @liyaoxinchifan 我的是国内的服务器
    google456
        6
    google456  
       2014-09-30 16:55:30 +08:00
    别人怎么会知道的???
    lhbc
        7
    lhbc  
    OP
       2014-09-30 17:04:05 +08:00
    @AstroProfundis 这个方法不错

    因为DNS和VPN架在一起,VPN会下发路由给客户端
    下午修改了下架构,服务器绑多一个内网IP,VPN把这个内网的路由下发到VPN客户端,dnsmasq只绑这个内网IP
    测试Windows、OS X、iOS、Android的VPN客户端均无问题
    暂时解决了这个问题
    lhbc
        8
    lhbc  
    OP
       2014-09-30 17:06:40 +08:00
    @google456 攻击者要发动这种攻击,肯定会扫遍全球IP的53端口
    各种常见端口都有人扫。以前有同事上新服务器,root用了弱密码,没改SSHD端口,上架一两个小时就被黑了
    所以目前国内运营商的DNS,都只限省内IP访问
    AstroProfundis
        9
    AstroProfundis  
       2014-09-30 21:18:49 +08:00
    @lhbc 哦哦VPN用不需要给外网访问,你这样更好,我是搞了个类似公共DNS的东西自己用,就只能这样蛋疼地绕一下_(:зゝ∠)_
    aveline
        10
    aveline  
       2014-10-01 00:57:44 +08:00   ❤️ 1
    我所有的递归 DNS 服务器都部署了这个黑名单,挺好用的 :-)
    https://github.com/smurfmonitor/dns-iptables-rules
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5227 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 09:32 · PVG 17:32 · LAX 01:32 · JFK 04:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.