всем привет,
я был удивлен в прошлом месяце, когда мой экземпляр EC2 (точный сервер ubuntu), который должен быть все еще на бесплатном уровне, накопил много трафика ... сегодня, проверяя мой текущий счет, я заметил, что у меня уже есть тонны трафика , пока еще в середине месяца, и я опасаюсь, что мой счет к концу месяца будет ...
Я установил пропускную способность и через несколько минут заметил большое количество UDP-трафика на «108.162.233.15». это, по-видимому, IP-адрес облачной вспышки, и у меня нет ничего, использующего облачную вспышку (насколько я знаю).
поэтому я запустил iftop, чтобы узнать, какие порты используются, и увидел, что UDP-трафик идет с порта 80 на мой порт 53 ... зачем веб-серверу запрашивать DNS?
поэтому я остановил привязку на своем сервере и запустил его в режиме отладки переднего плана и увидел следующий запрос, который постоянно повторяется:
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: endrequest
17-Nov-2012 12:30:58.217 client @0x7fbee05126e0: udprecv
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: endrequest
у меня вопрос ... это нормально? я должен беспокоиться? или это совершенно не имеет отношения к моим расходам на передачу данных, и мне нужно подождать, чтобы увидеть больше данных из полосы пропускания?
заранее спасибо.
Мне кажется, что ваш сервер используется для атаки с усилением DNS.
Я не знаю модели ценообразования Amazon EC2, но был бы удивлен, если бы этот трафик не учитывался.
Это работает так:
Кто-то отправляет DNS-запрос на ваш сервер с поддельным IP-адресом 108.162.233.15.
Ваш сервер отвечает на этот запрос реальной жертве - 108.162.233.15.
Запрос довольно маленький, но ответ довольно большой (проверьте dig -t ANY isc.org
).
Настоящий вопрос: почему ваш сервер отвечает на эти запросы?
Вы намеренно используете общедоступный рекурсивный DNS-сервер для всех?
Если нет, вам нужно отключить рекурсию или ограничить ее доверенными / известными клиентами (recursion no;
и allow-query-cache {none;};
).