Назад | Перейти на главную страницу

возможна атака UDP на BIND?

всем привет,

я был удивлен в прошлом месяце, когда мой экземпляр EC2 (точный сервер ubuntu), который должен быть все еще на бесплатном уровне, накопил много трафика ... сегодня, проверяя мой текущий счет, я заметил, что у меня уже есть тонны трафика , пока еще в середине месяца, и я опасаюсь, что мой счет к концу месяца будет ...

Я установил пропускную способность и через несколько минут заметил большое количество UDP-трафика на «108.162.233.15». это, по-видимому, IP-адрес облачной вспышки, и у меня нет ничего, использующего облачную вспышку (насколько я знаю).

поэтому я запустил iftop, чтобы узнать, какие порты используются, и увидел, что UDP-трафик идет с порта 80 на мой порт 53 ... зачем веб-серверу запрашивать DNS?

поэтому я остановил привязку на своем сервере и запустил его в режиме отладки переднего плана и увидел следующий запрос, который постоянно повторяется:

17-Nov-2012 12:30:58.216 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: endrequest
17-Nov-2012 12:30:58.217 client @0x7fbee05126e0: udprecv
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: endrequest

у меня вопрос ... это нормально? я должен беспокоиться? или это совершенно не имеет отношения к моим расходам на передачу данных, и мне нужно подождать, чтобы увидеть больше данных из полосы пропускания?

заранее спасибо.

Мне кажется, что ваш сервер используется для атаки с усилением DNS.
Я не знаю модели ценообразования Amazon EC2, но был бы удивлен, если бы этот трафик не учитывался.

Это работает так:
Кто-то отправляет DNS-запрос на ваш сервер с поддельным IP-адресом 108.162.233.15.
Ваш сервер отвечает на этот запрос реальной жертве - 108.162.233.15.
Запрос довольно маленький, но ответ довольно большой (проверьте dig -t ANY isc.org).

Настоящий вопрос: почему ваш сервер отвечает на эти запросы?
Вы намеренно используете общедоступный рекурсивный DNS-сервер для всех?

Если нет, вам нужно отключить рекурсию или ограничить ее доверенными / известными клиентами (recursion no; и allow-query-cache {none;};).