Pedidos indesejados de subdomínio nos logs de consulta DNS (BIND9)

2

Estou executando meu próprio DNS e estou registrando todas as pesquisas de DNS. Hoje, percebi que existem mais de 200 entradas para consultas de subdomínio indesejadas no log.

Curiosamente, esses subdomínios inexistentes são possivelmente áreas sensíveis. Outro problema é que essas entradas NÃO existem em access.log ou error.log.

Estou um pouco preocupado que sejam tentativas de hack.

Eu tenho 3 perguntas:

  1. Como posso adicionar essas consultas de subdomínio inexistentes ao error.log?
  2. Existe algum pacote do Ubuntu que possa bloquear esse tipo de tentativa de invasão?
  3. Quais são minhas outras opções?

Exemplo de log de consulta de DNS:

15-Dec-2011 01:12:41.726 queries: info: client 169.152.96.22#42014: query: adminarea.site.com IN A -ED (174.227.21.23)
    
por Nizzy 15.12.2011 / 07:23

1 resposta

0

Quando você fala de access.log e error.log , presumo que você esteja falando sobre os registros do servidor HTTP.

Para fazer uma solicitação HTTP, o processo é mais ou menos assim: (vastamente simplificado):

  1. o cliente emite uma solicitação de DNS para mapear o nome do host da URL para um endereço IP.
  2. o cliente faz uma conexão TCP com o servidor da web no endereço IP especificado.
  3. o servidor envia de volta a página solicitada.

Se você não estiver vendo nenhuma atividade nos logs do servidor HTTP, isso significa que (a) a primeira etapa falhou com o servidor DNS retornando uma resposta "sem tal domínio" ou (b) o cliente estava procurando o nome do host para algum outro propósito (por exemplo, email, ftp, etc).

Se você estiver executando um site público, terá que lidar com pessoas aleatórias que estejam pesquisando nomes de host em seu domínio. Desde que você não esteja contando com nomes de host obscuros como uma forma de segurança, isso não deve ser uma grande preocupação.

    
por James Henstridge 15.12.2011 / 09:33