Назад | Перейти на главную страницу

Сервер получает постоянные запросы DNS TXT - в чем опасность?

недавно я обнаружил, что мой сервер генерирует намного больше трафика, чем обычно.

Обычно я получаю около 1-10 МБ в день, поскольку сервер работает только как хост для электронной почты и статических веб-сайтов.

Однако за последние три дня он генерирует более 200 Мб в день.

Хотя я точно не понял проблему, следующее кажется мне очень подозрительным.

При запуске tshark с консоли я получаю непрерывные запросы вроде этих:

19.825601 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.831944 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.842562 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.844480 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.846354 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.846561 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.848314 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.851613 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.851625 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.852715 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.854063 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.866565 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.866582 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.870774 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com

Хотя я действительно знаю, что такое TXT, для меня это не имеет никакого смысла.

Когда я читаю запись DNS TXT, она просто содержит данные, которые для меня не имеют никакого смысла.

Вопросы такие:

Вы, ребята, знаете, что здесь означают данные TXT. Вы можете сказать мне, каков общий опасный потенциал? Может быть, мой сервер скомпрометирован, и эти запросы имеют более глубокое значение или являются предвестником другой проблемы? Это говорит о том, что у меня был фиктивный DNS-сервер, работающий на машине, который всегда доставлял статический ответ (аналогично откату NX-Domain от OpenDNS).

До сих пор я отключил процесс и заблокировал IP через iptables. Однако запросы по-прежнему отображаются в tshark, что, как мне кажется, связано с уровнем, на котором tshark захватывает пакеты.