O que faria com que o named enviasse centenas de respostas falsas?

3

Meu servidor DNS executando o RHEL 6.6 está ativamente enviando respostas DNS não solicitadas para alguns IPs. Por não solicitado, quero dizer que não há nenhuma solicitação de entrada do IP externo, o servidor DNS parece querer falar com esse host externo por algum motivo por conta própria e eu não consigo descobrir o porquê. O Netstat mostra as conexões de saída vinculadas ao processo nomeado. O tcpdump confirma que estes são principalmente de saída. Eles se parecem com isso: (os nomes dos hosts no final são o que está no tcpdump real)

104115 5.888666   <DNS server source IP> <dest IP>   DNS 80 Standard query 0xfc38 A chhveu.x99moyu.net

Existem toneladas destes: Aqui está outro exemplo:

104012 5.8884459  <DNS server source IP> <dest IP>  DNS 106 Standard query 0x688b MX 3636.3335.3338.3737.80h423333324d.host.com

Mais uma vez, muitos desses.

Eu consegui controlar isso usando o iptables. No entanto, os contadores de pacotes estão aumentando rapidamente, então sei que o serviço nomeado ainda está querendo falar com esse IP. Outra coisa estranha que notei é depois de colocar a regra do iptables no lugar. Eu bloqueei o IP usando a cadeia INPUT primeiro e continuei a ver o tráfego. Em seguida, adicionei o IP à cadeia OUTPUT, e a solicitação recebida pareceu secar imediatamente, enquanto a solicitação de saída continuava somando. Então, temo que a solicitação recebida esteja sendo produzida pela solicitação de saída. Aqui está como os contadores de pacotes se parecem no iptables:

Cadeia de entrada:

4   292 DROP       all  --  any    any     X.X.X.X/24     anywhere

Cadeia de saída:

41174 4514K DROP       all  --  any    any     anywhere   x.x.x.x/24

Este sistema pode ser comprometido e, em caso afirmativo, há algo que eu possa fazer para remediá-lo?

    
por user53029 14.12.2015 / 21:41

0 respostas