What is going on here? Is my name server under attack? Can I do something about this?
O que está acontecendo aqui?
É impossível dizer a partir das entradas de log munged. Aqui estão apenas algumas possibilidades:
- Seu serviço é popular na China. Parabéns
- Alguém configurou mal um script que usa sua API
- Alguém está executando um código que reúne informações de DNS para bilhões de domínios. O seu é um deles
- Um remetente de spam está falsificando seu domínio e um servidor de e-mail está verificando registros DNS como parte de uma solução antispam
- Você está sob ataque
O meu servidor de nomes está sob ataque?
Em 5-10 solicitações de DNS / s de um punhado de IPs? Duvidoso. A maioria dos ataques DNS que conheço usa solicitações especialmente criadas para mexer com a funcionalidade interna do seu servidor ou sobrecarregar seus recursos. Geralmente, se você tiver que perguntar, você não está sob ataque.
Posso fazer algo sobre isso?
Claro, você pode bloquear os IPs ofensivos em seu firewall ou instalar a ferramenta Fail2Ban .
Mas você deveria?
Lembre-se de que o trabalho inteiro do seu servidor DNS é atender a solicitações. Você percebeu isso depois de ativar o log de consultas e assistiu a saída. Você está vendo o uso louco da CPU? Rede IO? Outras solicitações legítimas conhecidas não são atendidas devido à contenção de recursos?
Se não, por que você os bloquearia? Deixe os protocolos funcionarem da maneira como foram projetados. Se você quiser logs mais limpos, desative o registro de consultas até precisar diagnosticar um problema.