É possível bloquear o site usando o meu IP como endereço de servidor de nomes?

Question

É possível bloquear o site usando o meu IP como endereço de servidor de nomes?

#1 resposta do (6 votos)
#2 resposta do (5 votos)

3

Na semana passada, ao analisar meus arquivos de log, notei que um site começou a aparecer enviando várias solicitações A e AAAA para seus ns1 / ns2, www e dois subdomínios para meu servidor DNS a cada poucos segundos, que estão sendo negados corretamente Eu tenho configurado. Embora não seja um risco de segurança, com as solicitações sendo rejeitadas e negadas, isso faz com que meus arquivos de log cresçam muito rapidamente e dificultem a leitura.

O que eu descobri foi que esse domínio colocou meu endereço IP como NS1 e NS2, então, além de pessoas que tentam acessar o site deles (do Egito), elas também me atingem quando tentam ir a outros sites que eu presumo são hospedados por este site egípcio. Agora, em vez de 4-6 solicitações por segundo, estou chegando perto de 15 a 20. Eu tentei criar registros para este domínio e retornar 127.0.0.1 com um TTL de 1 ano para facilitar os acessos, o que funcionou na eliminação de entradas de log para o domínio egípcio principal, mas agora estou recebendo um aumento em outros nomes de domínio tentando para acertar também.

Existe alguma maneira de impedir que este domínio primário e os outros tentem acertar o servidor DNS sem desabilitar o BIND (e não servir minhas zonas) na minha caixa Linux / Plesk? Eu enviei um email para o registrante no domínio Whois e no departamento de abuso de registradores (Go Daddy, para que isso não vá a lugar algum), mas ainda não ouvi nada. Eu também bloqueei todos os blocos de IP do Egito, China, etc no meu firewall, mas muitos dos pedidos para esse domínio são de todo o mundo.

Coçando minha cabeça aqui, qualquer ajuda ou idéia seria apreciada.

firewall bind linux domain-name-system

por Chad 08.02.2012 / 06:04

2 respostas

5

Este é um servidor de nomes autoritativo? Em caso afirmativo, desabilitar a recursão (adicione recursion no; à sua configuração do BIND.
Ter um NS autoritativo também ser um resolvedor recursivo é geralmente considerado uma Coisa Ruim.

Se você não for capaz de desativar a recursão completamente, limite tanto quanto possível (usando a diretiva allow-recursion {}; ).

Veja esta página (ou o livro de críquete ) para mais informações sobre estas directivas.
Se você não autorizou o uso do seu servidor DNS, você também deve notificar o contato de abuso do provedor de origem com uma oferta para cobrar pelo uso não autorizado do seu servidor e recursos de rede - $ 0,01 por consulta parece ser justo para mim: -)

por 08.02.2012 / 06:49

Tags firewall bind linux domain-name-system

Por que aspas e outros caracteres não alfanuméricos não são renderizados corretamente quando eu ssh? Melhor configuração do my.cnf para um servidor MySQL de 8GB com MyISAM

score 6 · Answer 1

Eles rapidamente corrigirão o erro se você disser ao mundo que esses nomes de domínio não existem.

O principal impulso da resposta de voretaq7 é algo que você realmente deveria ter feito, e provavelmente já fez. Se o seu servidor DNS está escutando em um endereço IP que é acessível por toda a Internet, então ele não deve fornecer o serviço DNS do proxy. Você precisa impedir que o servidor use mais de um chapéu e verifique se ele fornece apenas o serviço DNS de conteúdo.

Isso leva à carne da resposta. Você simplesmente precisa configurar seu servidor DNS de conteúdo para negar a existência desses nomes de domínio para o mundo. As pessoas que configuraram mal suas delegações para usar seu endereço IP logo perceberão seu erro, especialmente quando os usuários finais começarem a reclamar que o correio, a WWW e outros serviços geram erros sobre nomes de domínio inexistentes e substituem os endereços IP corretos. . É um incentivo muito simples de dar: "Conserte suas delegações para não apontar erroneamente o mundo para meus servidores, e seus nomes de domínio começarão magicamente a existir."

Como você faz isso é a própria simplicidade. Você não precisa assistir aos seus registros, enumerar todos os novos nomes de domínio e configurar uma zona que os cubra. Basta configurar uma . zone. Seu servidor DNS de conteúdo negará a existência de cada nome de domínio para o qual ele é consultado aleatoriamente, em que esse nome de domínio não é coberto por uma das zonas que você realmente pretende veicular (e organizou para ser delegado ao servidor) .

Lembre-se de ser legal quando fizer isso. Esse erro pode muito bem ser o resultado de alguém acidentalmente digitar errado alguns dígitos em um formulário. Você não quer incomodar as pessoas. Você só quer incentivá-los a corrigir o erro. Portanto, não configure o campo MINIMUM tão alto no seu registro de recurso SOA para . que as respostas negativas são armazenadas em cache pelo mundo por uma semana. Permita que as pessoas envolvidas façam as coisas mudarem rapidamente. Algumas horas é provavelmente um bom compromisso entre a necessidade de reduzir consultas repetidas e a necessidade de poder mudar rapidamente para os servidores DNS de conteúdo adequados. Não vá configurando os registros de recursos curinga A e AAAA que direcionam as pessoas para lugares desagradáveis. Apenas retorne respostas "sem esse nome".

Uma observação importante: não basta espelhar os dados do DNS raiz público.

Você não pode simplesmente descartar o arquivo root.zone do InterNIC em sua configuração do BIND. Esse arquivo de origem do banco de dados tem delegações ao longo da borda inferior da zona . Seu servidor DNS terminará enviando respostas parciais que terminam em delegações para todos esses nomes de domínio alienígenas sobre os quais você está sendo consultado. Isso apenas o marcará como "lame" (para retornar delegações para cima) e a resolução de servidores DNS proxy acabará fazendo uma consulta novamente com bastante frequência. Não nega a existência dos nomes de domínio. Você quer que seu servidor envie respostas completas que terminem em "no such name" para todos os nomes de domínio alienígenas, negando sua existência. Respostas completas e negativas serão armazenadas em cache pelos proxies de resolução, e eles não voltarão a perguntar de novo tantas vezes.

Portanto, você precisa de um arquivo de zona para . que não tenha delegações ao longo de sua borda inferior. Felizmente, isso é muito mais simples do que o arquivo do InterNIC, já que para o mínimo você precisa apenas de três registros de recursos, procurando algo semelhante a isso:

@ 86400 IN SOA @ hostmaster 1 2D 1H 2W 3H 
@ 86400 IN NS @
@ 86400 IN A 127.53.0.1

No formato djbdns, este é um verso:

.:127.53.0.1:.

Outras leituras

Jonathan de Boyne Pollard (2000,2004,2007). Os endereços IP nos quais os servidores proxy devem ser configurados para escutar em> . Respostas frequentemente dadas.

Jonathan de Boyne Pollard (2000,2004,2007). servidores DNS "content" e "proxy" . Respostas frequentemente dadas.

Jonathan de Boyne Pollard (2003). Fornecendo serviço DNS de conteúdo com todos os recursos software de servidor DNS de uma vez. . Respostas frequentemente dadas.

score 5 · Answer 2

Este é um servidor de nomes autoritativo? Em caso afirmativo, desabilitar a recursão (adicione recursion no; à sua configuração do BIND.
Ter um NS autoritativo também ser um resolvedor recursivo é geralmente considerado uma Coisa Ruim.

Se você não for capaz de desativar a recursão completamente, limite tanto quanto possível (usando a diretiva allow-recursion {}; ).

Veja esta página (ou o livro de críquete ) para mais informações sobre estas directivas.
Se você não autorizou o uso do seu servidor DNS, você também deve notificar o contato de abuso do provedor de origem com uma oferta para cobrar pelo uso não autorizado do seu servidor e recursos de rede - $ 0,01 por consulta parece ser justo para mim: -)