possível ataque UDP no BIND?

4

Olá a todos,

Fiquei surpreso mês passado quando minha instância EC2 (servidor preciso do ubuntu), que deveria estar sob o nível gratuito ainda, acumulava muito tráfego ... hoje, enquanto checava meu extrato de cobrança atual, notei que eu já toneladas de tráfego, enquanto ainda no meio do mês, e eu estou com medo de que a minha conta até o final do mês vai ser ...

eu instalei o bandwidthd, e depois de alguns minutos, notei um monte de tráfego UDP para "108.162.233.15". Este é aparentemente um IP cloudflare, e eu não tenho nada usando cloudflare (tanto quanto eu sei).

então eu corri "iftop" para ver quais portas estão sendo usadas, e vi o tráfego UDP vindo da porta 80 para minha porta 53 ... por que dns uma consulta do servidor web?

Então eu parei de ligar no meu servidor, e executei-o no modo de depuração em primeiro plano, e vi a seguinte consulta, sendo repetida continuamente:

17-Nov-2012 12:30:58.216 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: endrequest
17-Nov-2012 12:30:58.217 client @0x7fbee05126e0: udprecv
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: endrequest

minha pergunta é ... isso é normal? eu deveria estar preocupado? ou isso é completamente irrelevante para meus custos de dados, e eu deveria esperar para ver mais dados da banda?

agradeço antecipadamente.

    
por Waleed Hamra 17.11.2012 / 11:55

1 resposta

7

Parece-me que seu servidor está sendo usado em um ataque de amplificação de DNS.
Não conheço o modelo de preços do Amazon EC2, mas ficaria surpreso se esse tráfego não contasse.

Funciona assim:
Alguém está enviando uma consulta DNS para seu servidor com o IP falsificado 108.162.233.15.
Seu servidor responde essa consulta à vítima real - 108.162.233.15.
A consulta é bem pequena, mas a resposta é bem grande (confira dig -t ANY isc.org ).

A verdadeira questão é, por que seu servidor responde a essas perguntas?
Você está executando intencionalmente um DNS recursivo público para todos usarem?

Se não, você precisa desativar a recursão ou limitá-la a clientes confiáveis / conhecidos ( recursion no; e allow-query-cache {none;}; ).

    
por 17.11.2012 / 13:16