Я использую DNS-сервер в EC2, и вчера он выдавал около 20 Мбит / с, когда я проверил свою панель биллинга и обнаружил 1,86 ТБ использованных данных в этом месяце. Это большой счет для моей небольшой проектной лаборатории. Я никогда не замечал падения производительности и раньше не беспокоился о настройке пороговых значений трафика, но теперь заметил, так как это обошлось мне в 200 + долларов за пропускную способность.
Похоже, кто-то использовал мой DNS-сервер как часть атаки усиления, но я не понимаю, как это сделать.
Конфиг ниже.
// BBB.BBB.BBB.BBB = ns2.mydomain.com ip address
options {
listen-on port 53 { any; };
// listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-transfer { BBB.BBB.BBB.BBB; };
allow-query-cache { BBB.BBB.BBB.BBB; };
allow-query { any; };
allow-recursion { none; };
empty-zones-enable no;
forwarders { 8.8.8.8; 8.8.4.4; };
fetch-glue no;
recursion no;
dnssec-enable yes;
dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "mydomain.com" IN {
type master;
file "zones/mydomain.com";
allow-transfer { BBB.BBB.BBB.BBB; localhost; };
};
Учитывая эту конфигурацию, я НЕ должен отвечать на запросы о зонах, которые я не размещаю локально, верно? Этот сервер является SOA для нескольких доменов, но он не используется для поиска чего-либо другими моими серверами (все решают против OpenDNS или Google). Какая директива здесь не так, или я забываю? Мои журналы (63 МБ +) полны этого:
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
Даже если ваш сервер настроен так, чтобы отвечать только на авторитетные запросы, как ваш, он все равно может быть использован для атаки с усилением - ANY запросы к корню зоны могут вызвать довольно тяжелый ответ UDP, так как корень зоны имеет тенденцию иметь несколько записей, особенно с SPF / DKIM / DNSSEC.
Вероятно, это то, что происходит в вашей системе - используйте tcpdump чтобы подтвердить. Если они используют ваши авторитетные записи в атаке усиления, ваш лучший вариант будет заключаться в том, чтобы просто перейти на новый IP-адрес и надеяться, что они не последуют, изменить корневые записи вашей зоны, чтобы сделать его менее эффективным вектором усиления, или реализовать ограничение скорости отклика (если ваш BIND это поддерживает).