Время от времени я проверяю свои графики munin на своем рабочем сервере, чтобы увидеть, не происходит ли что-нибудь необычное. Сегодня заметил странную вещь. Одинаковые всплески трафика на всех (8) интерфейсах / IP-адресах одновременно.
Нажмите, чтобы увидеть график Мунина
Журналы apache не показывают никакого трафика. Но если я сделаю tcpdump для каждого IP-адреса, я увижу то же самое. Я вижу тысячи таких строк:
18:40:50.737105 IP 104.27.163.111.43691 > (mydomain).com.domain: 47751+ [1au] ANY? msn.com. (36)
18:40:50.737198 IP (mydomain).com.domain > 104.27.163.111.43691: 47751- 0/13/1 (247)
18:40:50.756342 IP 104.27.163.111.53917 > (mydomain).com.domain: 7559+ [1au] ANY? msn.com. (36)
18:40:50.756432 IP (mydomain).com.domain > 104.27.163.111.53917: 7559- 0/13/1 (247)
18:40:50.764843 IP 104.27.163.111.38729 > (mydomain).com.domain: 59015+ [1au] ANY? msn.com. (36)
18:40:50.764929 IP (mydomain).com.domain > 104.27.163.111.38729: 59015- 0/13/1 (247)
18:40:50.797139 IP 104.27.163.111.9549 > (mydomain).com.domain: 17799+ [1au] ANY? msn.com. (36)
18:40:50.797253 IP (mydomain).com.domain > 104.27.163.111.9549: 17799- 0/13/1 (247)
18:40:50.800387 IP 104.27.163.111.59499 > (mydomain).com.domain: 33159+ [1au] ANY? msn.com. (36)
18:40:50.800482 IP (mydomain).com.domain > 104.27.163.111.59499: 33159- 0/13/1 (247)
18:40:50.805491 IP 104.27.163.111.17477 > (mydomain).com.domain: 13703+ [1au] ANY? msn.com. (36)
18:40:50.805585 IP (mydomain).com.domain > 104.27.163.111.17477: 13703- 0/13/1 (247)
18:40:50.815385 IP 104.27.163.111.15286 > (mydomain).com.domain: 52359+ [1au] ANY? msn.com. (36)
18:40:50.815481 IP (mydomain).com.domain > 104.27.163.111.15286: 52359- 0/13/1 (247)
18:40:50.816789 IP 104.27.163.111.17279 > (mydomain).com.domain: 45959+ [1au] ANY? msn.com. (36)
18:40:50.816882 IP (mydomain).com.domain > 104.27.163.111.17279: 45959- 0/13/1 (247)
18:40:50.818406 IP 104.27.163.111.33210 > (mydomain).com.domain: 28039+ [1au] ANY? msn.com. (36)
18:40:50.818500 IP (mydomain).com.domain > 104.27.163.111.33210: 28039- 0/13/1 (247)
18:40:50.823323 IP 104.27.163.111.42996 > (mydomain).com.domain: 17287+ [1au] ANY? msn.com. (36)
18:40:50.823417 IP (mydomain).com.domain > 104.27.163.111.42996: 17287- 0/13/1 (247)
18:40:50.837159 IP 104.27.163.111.13627 > (mydomain).com.domain: 22151+ [1au] ANY? msn.com. (36)
18:40:50.837254 IP (mydomain).com.domain > 104.27.163.111.13627: 22151- 0/13/1 (247)
18:40:50.841576 IP 104.27.163.111.38221 > (mydomain).com.domain: 24967+ [1au] ANY? msn.com. (36)
18:40:50.841701 IP (mydomain).com.domain > 104.27.163.111.38221: 24967- 0/13/1 (247)
18:40:50.846206 IP 104.27.163.111.15500 > (mydomain).com.domain: 19079+ [1au] ANY? msn.com. (36)
18:40:50.846299 IP (mydomain).com.domain > 104.27.163.111.15500: 19079- 0/13/1 (247)
18:40:50.956163 IP 104.27.163.111.9152 > (mydomain).com.domain: 60295+ [1au] ANY? msn.com. (36)
18:40:50.956257 IP (mydomain).com.domain > 104.27.163.111.9152: 60295- 0/13/1 (247)
Я вижу это на всех IP-адресах. Кто-нибудь знает, что происходит?
Ваш DNS-сервер используется для атака с усилением трафика нацелены на серверы CloudFlare. Как видите, злоумышленник отправляет вам 36 байтов данных с поддельного IP-адреса источника, а CloudFlare получает от вас незапрошенный ответ с длиной 246 байтов данных. 246/32 равняется примерно 7,5-кратному увеличению полосы пропускания атаки (т.е. я даю вам 1 Мбит / с, вы используете CloudFlare 8 Мбит / с).
Что вам действительно нужно сделать, так это отключить рекурсивные запросы с любых адресов, кроме доверенных, и разрешить запросы только из ненадежных источников для ваших размещенных доменных зон (первичных и вторичных).
Усилители есть усилители. Это Интернет, это враждебная и токсичная среда. Они задают ЛЮБОЙ запрос msn.com, который предполагает возврат большого ответа по UDP с использованием поддельного IP-адреса. Это обычная практика использования открытых DNS-преобразователей для атак с усилением. Это работает, потому что запросы UDP DNS не требуют рукопожатия или чего-то подобного.
Первое правило: не открывайте рекурсивный DNS-сервер во внешний мир без ограничения скорости и размера запросов.
Второе правило: не открывайте рекурсивную службу DNS во внешний мир, если вы не знаете, зачем вы это делаете.
Третье правило: если вы открываете рекурсивную службу DNS для своих клиентов, всегда устанавливайте ACL, используя саму реализацию DNS-сервера или брандмауэр.