Назад | Перейти на главную страницу

Чрезмерный исходящий DNS-трафик

У меня есть система VPS, которая у меня была 3 года на одном хосте без проблем. Недавно хост начал отправлять крайний объем исходящего DNS-трафика на 31.193.132.138. Из-за того, как Linode отреагировал на это, я недавно покинул Linode и перешел на 6sync. Сервер был полностью перестроен на 6sync за исключением почтовых конфигураций postfix.

В настоящее время запущены следующие демоны:

sshd nginx postfix dovecot

php5-fpm (только localhost) spampd (только localhost) clamsmtpd (только localhost)

Учитывая, что сервер был перестроен на 100%, я не могу найти никаких серьезных эксплойтов против вышеупомянутых демонов, пароли изменились, ssh-ключи даже не существуют при перестройке и т.д ... кажется крайне маловероятным, что это компромисс, который используется для DoS-атаки на адрес.

Предоставленный IP-адрес отмечен в сети как известный источник СПАМА. Мое первоначальное предположение заключалось в том, что он пытался использовать мой постфиксный сервер в качестве ретранслятора, а выдаваемые им поддельные адреса были доменами с этим IP, зарегистрированными в качестве их серверов имен. Я мог бы предположить, учитывая мою конфигурацию постфикса, что DNS-запросы для таких вещей, как информация SPF, будут приходить с количеством, равным или большим, чем количество попыток отправки спамовых писем.

И Linode, и 6Sync заявили, что исходящий трафик чрезвычайно непропорционален. Ниже приводится вся информация, которую я получил от Linode относительно исходящего трафика:

21:28:28.647263 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain]
21:28:28.647264 IP 97.107.134.33 > 31.193.132.138: udp
21:28:28.647264 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain]
21:28:28.647265 IP 97.107.134.33 > 31.193.132.138: udp
21:28:28.647265 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain]
21:28:28.647266 IP 97.107.134.33 > 31.193.132.138: udp

6sync не может подтвердить, был ли недавний всплеск исходящего трафика на тот же IP-адрес или через DNS, но я так и предполагал. На данный момент мой сервер блокирует всю подсеть 31.0.0.0/8, чтобы предотвратить это, пока я разбираюсь.

У кого-нибудь есть любой идея, что происходит?

не ответ, просто случайные мысли:

  • Вы можете увидеть этот трафик, если просто запустите tcpdump на своем [виртуальном] сетевом интерфейсе? если да - можете ли вы попытаться выяснить, есть ли дневная / почасовая картина? вы можете создать правило iptables для подсчета трафика, а затем разрешить плагин munin собирать статистику ..
  • вы можете попытаться определить, какое приложение генерирует этот трафик? я вижу здесь два метода:
    • Брутальный метод - дождаться появления трафика и начать убивать приложения одно за другим.
    • мягкий подход - используйте iptables в цепочке OUTPUT и совпадение владельца к журнал выводить пакеты, идущие на порт 53, в системный журнал. что-то вроде: iptables -I OUTPUT -p udp --dport 53 --match owner --uid-owner 33 -j LOG --log-prefix "uid 33" применяется ко всем вашим использованным uid. проверьте системный журнал, чтобы узнать, какой процесс генерирует нежелательный трафик.
  • у вас работает локальный DNS-сервер [например, привязка]? если так:
    • нюхайте также петлю, чтобы увидеть, какое приложение может отправлять запросы, вызывающие нежелательный трафик.
    • могут ли внешние серверы разговаривать с вашим DNS-сервером? если да - возможно, это какая-то атака с обратным рассеянием, когда ваш сервер получает пакеты с поддельных адресов и отвечает, бомбардируя жертву.
  • Вы на 110% уверены, что ваш php-код не был изменен? неужели некоторые из ваших скриптов содержат мало вредоносных строк?

Я (пока) не знаю, каков трафик, но могу подтвердить, что это не соответствующий DNS-трафик.

12-байтовый заголовок содержит:

  • 2-байтовое поле идентификатора (28720 - 0x7030)
  • 2-байтовые поля флагов (0x4134)
  • 4 * 2 байта количества записей [17267a] [30550q] [28773n] [14673au]

Флаги обычного рекурсивного запроса должен быть 0x0100. 4 счета должны быть (1, 0, 0, 0+).

Попробуйте запустить tcpdump в подробном режиме (-v), чтобы увидеть текущие запросы и ответы DNS. Это может быть какой-то IP-туннель через DNS. Как и предложил pQd, было бы хорошо знать, какое программное обеспечение генерирует трафик.