Eu tenho um problema preocupante por algumas semanas agora ... Um dos meus três servidores DNS (executando bind9 como escravo de um mestre DNS do Plesk) está recebendo spam com solicitações de DNS sem sentido. Os IPs de origem dessas solicitações são de todo o mundo, então não posso simplesmente descartar um intervalo de IP ou um país inteiro por iptables .
Aqui estão algumas linhas de log para que você possa ver o esquema desses "ataques":
10-May-2015 11:15:54.714 client 120.87.202.161#47441: query: sjgzincrmxobabst.www.luzhiye.com IN A + (my-ip)
10-May-2015 11:15:56.252 client 111.187.196.51#41387: query: mrcf.www.330dp.com IN A + (my-ip)
10-May-2015 11:15:56.806 client 89.90.44.173#56673: query: qzwp.www.330dp.com IN A + (my-ip)
10-May-2015 11:15:57.891 client 116.93.242.237#55721: query: srapafupglkxaver.www.330dp.com IN A + (my-ip)
10-May-2015 11:15:59.611 client 123.153.92.59#20847: query: yj.www.330dp.com IN A + (my-ip)
Essas solicitações não são realmente ataques porque o servidor host está muito relaxado. Tentei bloquear os pedidos com o iptables, mas depois de alguns minutos / horas os domínios solicitados estão mudando, então não tenho chance de fazê-lo.
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere STRING match "888fy.com" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "taohua.me" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "yymo.us" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "taohuazu.cc" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "taohua.me" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "227x.com" ALGO name bm TO 65535
Alguém tem experiência com esse tipo de "ataque"? Como parar isso? Eu tentei desligar o servidor inteiro por 48 horas. Após o reinício, não houve mais ataques, mas algumas horas depois eles recomeçaram.
Configuração (named.conf.local / named.conf.options):
dnssec-validation auto;
allow-new-zones yes;
notify master-only;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
statistics-file "/var/cache/bind/named.stats";
zone-statistics yes;
controls {
inet * port 953 allow { plesk-ip; 127.0.0.1; } keys {"rndc-key"; };
};
logging {
channel b_query {
file "/var/log/bind9/query.log" versions 2 size 1m;
print-time yes;
severity info;
};
category queries { b_query; };
};
Executei alguns testes on-line para verificar novamente se meu servidor DNS não é um resolvedor aberto. Successfully: Nenhum resolvedor aberto encontrado.
A ajuda é muito apreciada!