运维开发网

域名系统 – 来自中国的很多dns请求,我应该担心吗?

运维开发网 https://www.qedev.com 2020-03-05 08:21 出处:网络 作者:运维开发网整理
我已经打开了dns查询日志,当运行“tail -f / var / log / syslog”时,我看到我从一个ip地址获得了数百个相同的请求: Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#10856: query: mydomain.de IN ANY + Apr 7 12:36:13 server17 named[
我已经打开了dns查询日志,当运行“tail -f / var / log / syslog”时,我看到我从一个ip地址获得了数百个相同的请求:

Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#10856: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#44334: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#15268: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#59597: query: mydomain.de IN ANY +

频率约为每秒5-10次请求,持续约一分钟.之后,相同的效果从不同的IP地址重复.我现在已经在几个小时内从大约25个IP地址记录了大约10000个请求,所有这些请求都来自中国,根据“whois [ipaddr]”.

这里发生了什么?我的名字服务器受到了攻击吗?我能为此做些什么吗?

What is going on here? Is my name server under attack? Can I do something about this?

这里发生了什么?

从munged日志条目中分辨出来是不可能的.这里有几个可能性:

>您的服务在中国很受欢迎.恭喜

>有人错误配置了使用您的API的脚本

>某人正在运行代码,为数十亿个域收集DNS信息.你的就是其中之一

>垃圾邮件制造者欺骗您的域名,邮件服务器正在检查DNS记录,作为反垃圾邮件解决方案的一部分

>你受到了攻击

我的名字服务器受到了攻击吗?

来自少数IP的5-10个DNS请求/秒?疑.我所知道的大多数DNS攻击都使用特制的请求来破坏服务器的内部功能或压倒其资源.一般来说,如果你不得不问,你不会受到攻击.

我能为此做些什么吗?

当然,您可以阻止防火墙中的违规IP或安装上述Fail2Ban工具.

不过你呢?

请记住,您的DNS服务器的整个工作是回答请求.打开查询日志记录并观察输出后,您注意到了这一点.您是否看到疯狂的CPU使用率?网络IO?其他已知合法请求是否因资源争用而未得到保留?

如果没有,为什么要阻止他们?让协议以他们设计的方式工作.如果您想要更干净的日志,请关闭查询日志记录,直到您需要诊断问题为止.

0

精彩评论

暂无评论...
验证码 换一张
取 消