Este é um dos ataques distribuídos contra servidores DNS autoritários que foram vistos em estado natural ultimamente. (não confundir com os ataques de amplificação de DNS mais populares) As vítimas são os servidores de nomes responsáveis pelo domínio mais próximo do TLD - tpa.net.cn
, sf97.net
, etc. A estratégia de ataque é gerar consultas que não serão armazenadas em cache.
Isso não é simplesmente uma questão de bloquear um cliente individual. Se você está vendo isso, geralmente é um sintoma de um dos seguintes fatores:
- Você está operando um "resolvedor aberto", um servidor DNS em cache acessível à Internet em geral.
- Seus clientes estão operando resolvedores abertos e encaminhando consultas para seus servidores de nomes. (isso é mais comum do que a maioria das pessoas pensa)
Na minha experiência, você precisa identificar qual deles é o caso e tomar medidas para reduzir os vetores de abuso em sua rede.