Я только что получил электронное письмо от интернет-провайдера моего веб-сайта о том, что мой сервер «в течение последних нескольких недель участвовал в качестве открытых преобразователей в DDoS-атаках (DNS Reflection)».
Вот полное письмо:
Тема: Атака с усилением DNS Уважаемые сэр или мадам,
Мы получили уведомление о спаме / злоупотреблении. Пожалуйста, примите необходимые меры, чтобы подобное не повторилось в будущем.
Кроме того, мы просим вас предоставить нам и лицу, подавшему эту жалобу, краткое заявление в течение 24 часов. Это заявление должно включать подробную информацию о событиях, приведших к инциденту, и о шагах, которые вы предпринимаете, чтобы справиться с ним.
Следующие шаги: - Решите проблему - Отправьте нам свое заявление - Отправьте свое заявление лицу, подающему жалобу, по электронной почте
Детали будут проверены коллегой, который будет координировать дальнейшие действия. В случае нескольких жалоб это может привести к блокировке сервера. ----- приложение -----
Уважаемые дамы и господа,
Нам сообщили, что IP-адреса из вашего сетевого диапазона были задействованы в качестве открытых преобразователей в DDoS-атаках (DNS Reflection) в течение последних нескольких недель.
В приложении к этому сообщению указаны IP-адреса открытых DNS-серверов в вашем сетевом диапазоне.
----- лог-файл -----
Затронутый IP: 176.9.1.67
Спасибо,
Что я могу сделать, чтобы подтвердить это и определить источник этой атаки?
Спасибо, Эко
Вы не можете определить источник атаки - пакеты, которые получает ваш DNS-сервер, отправляются с поддельных адресов источников.
По сути, злоумышленник отправляет пакеты с поддельными адресами источника на ваш DNS-сервер. Они задают ему вопросы, в результате чего он отправляет большие ответы. Чтобы использовать ваш DNS-сервер в качестве инструмента атаки, злоумышленник подделывает исходный адрес хоста, который они хотят заполнить мусорным трафиком, и направляет большое количество DNS-серверов, таких как ваш, для бомбардировки этого хоста ложными ответами. Ваш DNS-сервер сам по себе не скомпрометирован и не делает ничего неправильного, но вы не должны позволять своему DNS-серверу отправлять эти большие ответы на произвольные вопросы в Интернет.
По сути, вам необходимо перенастроить DNS-сервер, чтобы не предоставлять услуги рекурсивного разрешения в Интернете. Ваш DNS-сервер должен отвечать на запросы только тех доменов, для которых он является полномочным.