Recebido A notificação do meu servidor está envolvida em “ataque de amplificação de DNS”. Como eu posso parar? [duplicado]

2

Acabei de receber um e-mail do meu provedor de Internet que meu servidor "envolveu como resolvedores abertos em ataques DDoS (DNS Reflection) nas últimas semanas."

Aqui está o email completo:

Subject: DNS amplification attack Dear Sir or Madam,

We have received spam/abuse notification. Please take the necessary steps to prevent this from happening again in future.

Furthermore, we would request that you provide both ourselves and the person who has submitted this complaint with a short statement within 24 hours. This tatement should include details of the events leading up to the incident and the steps you are taking to deal with it.

Next steps: - Solve the problem - Send your statement to us - Send your statement to the person making the complaint per email

The details will then be checked by a colleague, who will coordinate further proceedings. In the event of several complaints, this may lead to the server being locked. ----- attachment -----

Dear Sir or Madam,

We have been informed that IP addresses from your network range have been involved as open resolvers in DDoS attacks (DNS Reflection) over the past few weeks.

Please see the attachment to this message for the IP addresses of the open DNS servers in your network range.

----- log file -----

Affected IP: 176.9.1.67

Thank you,

O que posso fazer para confirmar isso e identificar a origem desse ataque?

Obrigado Eco

    
por user180065 02.07.2013 / 19:52

1 resposta

11

Você não pode identificar a origem do ataque - os pacotes que seu servidor DNS está recebendo são de endereços de origem falsificados.

Basicamente, um invasor está enviando pacotes com endereços de origem forjados para seu servidor DNS. Eles estão fazendo perguntas que resultarão no envio de grandes respostas. Para usar seu servidor DNS como uma ferramenta de ataque, o invasor está falsificando o endereço de origem de um host que deseja inundar com tráfego de lixo e direcionando grandes números de servidores DNS, assim como o seu, para bombardear esse host com respostas falsas. Seu servidor DNS não está comprometido ou está fazendo nada de errado, por si só, mas você não deve permitir que seu servidor DNS envie grandes respostas para perguntas arbitrárias na Internet.

Basicamente, você precisa reconfigurar seu servidor DNS para não fornecer serviços de resolução recursiva à Internet. Seu servidor DNS deve responder apenas aos domínios para os quais é autoritativo.

    
por 02.07.2013 / 20:19