У меня есть vps, и на нем есть несколько сайтов, обычно эти сайты редко посещаются, кроме меня, поэтому я шокирован одним фактом: я захожу на портал поставщика vps и обнаруживаю, что использовал огромное количество полосы пропускания, что такое маленький сайт никогда бы не использовал.
поэтому я запускаю ntop и сбрасываю всю статистику, затем обновляю веб-портал ntop через порт 3000 и обнаруживаю, что диаграмма действительно шокирует, что трафик DNS занимает почти 99 процентов всего трафика, а трафик DNS составляет почти 100 МБ за несколько минут, вы могли видеть этот факт через картинку, которую я загрузил
У меня следующий вопрос: 1. Почему на моем VPS такой большой трафик DNS? 2. Кто-то взломал мой VPS, если мой VPS настроен как ядро DNS-трафика?
Редактировать 1 @RSchulze, почему вы сказали, что причина в неправильной настройке программного обеспечения DNS, такого как named? какая неправильная конфигурация может привести к такому огромному трафику DNS? кстати, я не настраиваю named вручную, я настраиваю его с помощью kloxo, которое является программным обеспечением для управления хостом, и его автору удалось успешно взломать kloxo :( Я все еще думаю, что мой сервер может быть взломан :( Возможно, мне следует изучить wirehark и захватить некоторые пакеты, чтобы узнать происхождение и цель этого DNS-трафика
Редактировать 2 После того, как я убью названный процесс, теперь DNS-трафик появляется редко :), но почему все еще есть некоторый трафик, связанный с DNS, но все они являются полученным трафиком, а не отправляемым трафиком :) Означает ли это, что мой VPS отправляет некоторый DNS-запрос на другие хосты?
Бьюсь об заклад, атака DNS-ретранслятора в процессе.
Проверьте:
http://slashdot.org/story/06/03/16/1658209/ddos-attacks-via-dns-recursion
для подробностей и примера, или
http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack (у которого есть хороший пример, чтобы показать вам, что происходит).
Обычно ваш DNS-сервер получает запросы с поддельного IP-адреса и отправляет туда большие ответы. Цель состоит в том, чтобы перекрыть цель. Неверно настроенный DNS-сервер в источнике.
Другой, менее вероятный вектор атаки - это кража данных через DNS. Это работает путем запроса определенного домена [принадлежащего злоумышленнику], где злоумышленник может формировать ответы в зависимости от запрашиваемого хоста. Данные могут быть извлечены в полезной нагрузке запроса DNS, а информация C&C может быть возвращена в ответе.
Как я уже сказал, это менее вероятный вектор атаки, но это отличный способ получить данные из среды, которая не разрешает исходящий HTTP (S), но разрешает DNS.
Удачи в поиске ответа ...