На прошлой неделе, просматривая мои файлы журналов, я заметил, что сайт начал появляться, отправляя несколько запросов A и AAAA для своих ns1 / ns2, www и двух поддоменов на мой DNS-сервер каждые несколько секунд, которые отклоняются правильно, как у меня настроен. Несмотря на то, что это не представляет угрозы для безопасности при отклонении и отказе запросов, это, тем не менее, приводит к очень быстрому росту моих файлов журналов и затрудняет их чтение.
Я обнаружил, что этот домен помещает мой IP-адрес в свои записи NS1 и NS2, поэтому в дополнение к людям, пытающимся попасть на их сайт (из Египта), они также бьют меня, когда пытаются перейти на другие сайты, которые, как я полагаю, размещены на это египетский сайт. Теперь вместо 4-6 запросов в секунду я приближаюсь к 15-20. Я попытался создать записи для этого домена и вернуть 127.0.0.1 с TTL в 1 год, чтобы облегчить попадания, что помогло устранить записи журнала для основного египетского домена, но теперь я получаю увеличение числа попыток других доменных имен. чтобы ударить его.
Есть ли способ остановить этот основной домен и другие от попыток доступа к DNS-серверу, не отключая BIND (и не обслуживая тогда мои зоны) в моем Linux / Plesk? Я отправил электронное письмо регистранту в Whois домена и в отдел по борьбе с злоупотреблениями регистратора (Go Daddy, так что это никуда не денется), но еще ничего не получил. Я также заблокировал все блоки IP из Египта, Китая и т. Д. В моем брандмауэре, но многие запросы для этого домена поступают со всего мира.
Почесывая голову здесь, любая помощь или идеи будут оценены.
Они быстро исправят свою ошибку, если вы скажете миру, что этих доменных имен не существует.
Основная направленность voretaq7Ответ - это то, что вы действительно должны были сделать, и, вероятно, сделали. Если ваш DNS-сервер прослушивает IP-адрес, доступный для всего Интернета, он не должен предоставлять прокси-службу DNS. Вам нужно запретить вашему серверу носить более одной шляпы и убедиться, что он предоставляет только службу DNS контента.
Это приводит к основному ответу. Вам просто нужно настроить DNS-сервер содержимого, чтобы запретить миру существование этих доменных имен. Люди, которые неправильно настроили свои делегации для использования вашего IP-адреса (ов), скоро поймут свою ошибку, особенно когда конечные пользователи начнут жаловаться на то, что почта, WWW и другие службы выдают ошибки о несуществующих доменных именах и заменяют правильные IP-адреса . Это очень простой стимул: «Исправьте свои делегации, чтобы они не указывали мне ошибочно мир на мои серверы, и ваши доменные имена волшебным образом начнут существовать».
То, как вы это делаете, - это сама простота. Вам не нужно смотреть свои журналы, перечислять каждое новое доменное имя по мере его появления и настраивать зону, покрывающую его. Просто настройте . зона. Затем ваш DNS-сервер содержимого будет отрицать существование каждого доменного имени, которое он запрашивает случайным образом, если это доменное имя не охвачено одной из зон, которые вы действительно собираетесь обслуживать (и которые были делегированы на ваш сервер). .
Не забывай, когда делаешь это, вести себя хорошо. Эта ошибка вполне может быть результатом того, что кто-то случайно ошибся при вводе пары цифр в форме. Вы не хотите раздражать людей. Вы просто хотите дать им стимул исправить свою ошибку. Так что не устанавливайте MINIMUM поле так высоко на твоем SOA запись ресурсов для . что отрицательные ответы кешируются миром в течение недели. Дайте возможность заинтересованным людям быстро изменить ситуацию. Несколько часов, вероятно, являются хорошим компромиссом между вашей потребностью уменьшить количество повторяющихся запросов и их потребностью быстро переключить вещи на правильные DNS-серверы контента. Не настраивайте подстановочный знак A и AAAA записи ресурсов, которые также направляют людей в неприятные места. Просто верните ответы «нет такого имени».
Вы не можете просто отказаться от InterNIC root.zone файл в настройку BIND. Исходный файл базы данных имеет делегации по нижнему краю зоны. Ваш DNS-сервер отправит частичные ответы, оканчивающиеся на делегации для всех этих чужих доменных имен, о которых вас спрашивают. Это просто пометит его как «хромой» (для возврата восходящего делегирования), а разрешающие прокси DNS-серверы в конечном итоге будут запрашивать его заново довольно часто. Это не отрицает существования доменных имен. Вы хотите, чтобы ваш сервер отправлял полные ответы, заканчивающиеся на "нет такого имени" для всех этих чужих доменных имен, отрицающих их существование. Полные, отрицательные ответы будут кэшироваться решающими прокси, и они не будут возвращаться, спрашивая заново, так часто.
Поэтому вам нужен файл зоны для . у которого нет делегаций по нижнему краю. К счастью, это на самом деле намного проще, чем файл InterNIC, так как для минимума вам нужно всего три записи ресурсов, которые выглядят примерно так:
@ 86400 IN SOA @ hostmaster 1 2D 1H 2W 3H
@ 86400 IN NS @
@ 86400 IN A 127.53.0.1
В формате djbdns это однострочный:
.:127.53.0.1:.
Это авторитетный сервер имен? Если так, отключить рекурсию (Добавить recursion no; в вашу конфигурацию BIND.
Наличие авторитетного NS в качестве рекурсивного преобразователя обычно считается плохим делом.
Если вы не можете полностью отключить рекурсию, предел это настолько практично (используя allow-recursion {}; директива).
См. Эту страницу (или книга по крикету) для получения дополнительной информации об этих директивах.
Если вы не санкционировали такое использование вашего DNS-сервера, вам также следует уведомить о нарушении правил исходного интернет-провайдера с предложением взимать с них плату за несанкционированное использование вашего сервера и сетевых ресурсов - 0,01 доллара за запрос мне кажется справедливым :-)