Atualmente eu executo um servidor DNS (bind9) que lida com consultas de clientes pela internet ultimamente. Tenho notado centenas de consultas de todos os endereços diferentes que se parecem com isso (o IP do servidor foi removido)
client 216.59.33.210#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 216.59.33.204#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 184.107.255.202#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 205.204.65.83#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 69.162.110.106#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 216.59.33.210#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 69.162.110.106#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 216.59.33.204#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
Alguém pode, por favor, explicar por que há tantos clientes querendo o site mature.net?
Quando um servidor DNS é configurado abertamente como este, ele é abusado por outras pessoas em ataques de amplificação de DNS. O invasor falsifica os endereços IP dos destinos do DDOS e envia muitas consultas pequenas (geralmente do tipo ANY) para servidores como o seu.
O mature.net ANY é usado porque retorna uma resposta grande e, portanto, amplifica o tamanho da consulta falsificada dos invasores em relação ao alvo.
Parece que você deseja desativar a recursão ou permitir recursão a endereços IP específicos (por exemplo, host local):
O padrão é permitir que qualquer pessoa.
Tags bind linux domain-name-system