Ребята, мне нужна ваша помощь.
Я использую много общедоступных IP-адресов для серверов, для которых открыт только один порт для обслуживания. А также использование переключателя L3 для балансировки нагрузки. (Я использовал их для EXDNS, Pulic-web и т. Д.)
В этом окружении я обнаружил несколько пакетов, которые приходили со многих общедоступных IP-адресов с 53 портами на мои общедоступные IP-адреса с любым портом, а не с тем портом, который я использую. И имя домена было xxxx.x99moyu.net (самая нижняя часть домена была изменена случайным образом.) Это пакет ACK и включает ответ 127.0.0.1 на запрос. Но наши серверы никогда не отправляют DNS-запросы для этих доменов. Один из пакетов, который у меня есть,
* ------------------------------------------------- -----------------
IPv4, Src: 171.125.150.23, Dst: 112.x.x.x (мой IP)
UDP, порт Src: 53, порт Dst: 54162
Система доменных имен (ответ)
Вопросы: 1
Ответ RRs: 1
Запросы: tnczmz.x99moyu.net: тип A, класс IN
Ответы: tnczmz.x99moyu.net: тип A, класс IN, адрес 127.0.0.1
-------------------------------------------------- ------------------ *
Когда я впервые увидел эти пакеты, напишите сообщение об атаке с усилением DNS. Используя DNS-серверы в Интернете и мой общедоступный IP-адрес для src.ip, мой сервер будет получать много пакетов ответов от DNS-серверов. Но цели слишком широки для успеха этой атаки, потому что более 200 серверов получили эти пакеты, и каждый сервер получил только 3-5 ответов DNS.
Итак, если у кого-то есть подобный опыт или кто-то знает причину, по которой это произошло, сообщите мне. Спасибо.
Когда удаленные пакеты имеют порт источника 53, обычно имеет место одно из четырех:
Многие люди ошибочно принимают №1 за атаку на их сервер (№3). Вы должны смотреть на объем входящего трафика, чтобы измерить его, и, поскольку вы не жалуетесь на то, что ваша пропускная способность ограничена этим, это маловероятно. Давайте выберем правило №3.
Наша следующая подсказка - это имя запроса: tnczmz.x99moyu.net. Подобные имена знакомы всем, кто в последние несколько лет работал с рекурсивными DNS-серверами большого объема (и обращал на это внимание): это Атака «Псевдослучайный субдомен», также известная как «Пытка водой». Я не буду здесь вдаваться в исчерпывающие подробности, но идея состоит в том, чтобы сгенерировать тысячи некэшируемых случайных запросов в домене, чтобы все запросы отправлялись на серверы имен для этого домена, истинной жертвы атаки. В данном случае это серверы имён для Cloudflare:
$ dig +short x99moyu.net NS
darwin.ns.cloudflare.com.
uma.ns.cloudflare.com.
Поскольку я почти уверен, что вы не являетесь администратором сервера Cloudflare, теперь нам нужно учитывать направление пакетов, чтобы исключить №1. Вот с чем нам предстоит работать:
Китайский IP-адрес отправляет вам ответные пакеты DNS. Мы знаем, что это ответные пакеты, потому что они содержат раздел ответа DNS. Поскольку ни вы, ни этот удаленный IP-адрес не принадлежите Cloudflare (их серверы имен управляют доменом), мы можем предположить, что один из этих IP-адресов подделан. Учитывая жертву атаки (Cloudflare) и то, как работает атака, адрес, который, скорее всего, подделывается здесь, является вашим. Это сделает китайский IP-адрес сервером, получающим рекурсивные запросы.
Я пришел к выводу, что вы не являетесь целью атаки и не участвуете в атаке (что чаще всего бывает, вам повезло). Это случай №4: ваш исходный IP-адрес просто подделывается из-за того, что кто-то другой скрывает свой след во время атаки на Cloudflare.
Оглядываясь назад, можно сказать, что №2 все еще возможен. Даже если сервер, на котором хранится ваш IP-адрес, не предоставляет прослушивателя DNS, ваш сервер может быть скомпрометирован и на нем запущено вредоносное ПО, которое генерирует запросы. Это, конечно, предполагает, что ваш захват пакетов не учитывает исходящие запросы. (меня осенило, что плохо предполагать, что это заметили)
Я не системный администратор, а программист, пишущий программное обеспечение DNS-сервера. Я вижу ту же проблему с доменом x99moyu.net на наших тестовых серверах и на серверах наших клиентов (провайдеров IS). Об этом недавно сообщил наш клиент, провайдер Интернет-услуг. Они жаловались, что их сеть значительно замедлилась, поэтому мы взяли образцы tcpdump и проверили их.
То, что я вижу в журналах, - это лавинный трафик по UDP, адресованный на порт 53, с A? запросы на xxx.x99moyu.net, на несуществующие доменные имена. Пакеты имеют неправильную контрольную сумму UDP, поэтому они просто создают паразитный трафик в сети DNS и загружают серверы. Это составляет до 2/3 объема DNS-трафика для некоторых серверов ISP. Он не сильно нагружает серверы, но замедляет скорость сети клиента из-за увеличения задержек в ответах DNS. Так что это довольно неприятно. И я вижу то же самое на некоторых наших тестовых серверах, которые не являются общедоступными DNS-серверами. Итак, я полагаю, что боты атакуют любой сервер, который они могут найти, который слушает порт 53. Диапазон исходных IP-адресов огромен. Я проверил, они выглядят как последовательные числа (поддельные адреса). Какое-то время не знаю, как заблокировать этот трафик.