В настоящее время я запускаю DNS-сервер (bind9), который обрабатывает запросы от клиентов через Интернет. В последнее время я заметил сотни запросов со всех разных адресов, которые выглядят следующим образом (IP-адрес сервера удален)
client 216.59.33.210#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 216.59.33.204#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 184.107.255.202#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 205.204.65.83#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 69.162.110.106#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 216.59.33.210#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 69.162.110.106#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 216.59.33.204#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
Может кто-нибудь объяснить, почему так много клиентов запрашивают ripe.net?
Когда DNS-сервер настроен так открыто, он используется другими в атаках с усилением DNS. Злоумышленник подделывает IP-адреса целей DDOS и отправляет множество небольших запросов (часто типа ЛЮБОЙ) на такие серверы, как ваш.
ripe.net ANY используется, потому что он возвращает большой ответ и, следовательно, увеличивает размер поддельного запроса злоумышленника к цели.
Похоже, вы хотите отключить рекурсию или разрешить рекурсию для определенных IP-адресов (например, локального хоста):
http://www.zytrax.com/books/dns/ch7/queries.html#allow-recursion
По умолчанию разрешено кому угодно.