У меня есть тревожная проблема вот уже несколько недель ... Один из трех моих DNS-серверов (запущенный bind9 в качестве подчиненного устройства DNS-мастера Plesk) получает спам с бессмысленными DNS-запросами. Исходные IP-адреса этих запросов поступают со всего мира, поэтому я не могу просто отбросить диапазон IP-адресов или целую страну на iptables.
Вот несколько строк журнала, чтобы вы могли увидеть схему этих «атак»:
10-May-2015 11:15:54.714 client 120.87.202.161#47441: query: sjgzincrmxobabst.www.luzhiye.com IN A + (my-ip)
10-May-2015 11:15:56.252 client 111.187.196.51#41387: query: mrcf.www.330dp.com IN A + (my-ip)
10-May-2015 11:15:56.806 client 89.90.44.173#56673: query: qzwp.www.330dp.com IN A + (my-ip)
10-May-2015 11:15:57.891 client 116.93.242.237#55721: query: srapafupglkxaver.www.330dp.com IN A + (my-ip)
10-May-2015 11:15:59.611 client 123.153.92.59#20847: query: yj.www.330dp.com IN A + (my-ip)
Эти запросы на самом деле не являются атаками, потому что хост-сервер очень расслаблен. Я попытался заблокировать запросы с помощью iptables, но через несколько минут / часов запрошенные домены меняются, поэтому у меня нет возможности это сделать.
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere STRING match "888fy.com" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "taohua.me" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "yymo.us" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "taohuazu.cc" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "taohua.me" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "227x.com" ALGO name bm TO 65535
Есть ли у кого-нибудь опыт подобных "атак"? Как это остановить? Я пытался выключить весь сервер на 48 часов. После перезапуска атак больше не было, но через несколько часов они возобновились.
Конфигурация (named.conf.local / named.conf.options):
dnssec-validation auto;
allow-new-zones yes;
notify master-only;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
statistics-file "/var/cache/bind/named.stats";
zone-statistics yes;
controls {
inet * port 953 allow { plesk-ip; 127.0.0.1; } keys {"rndc-key"; };
};
logging {
channel b_query {
file "/var/log/bind9/query.log" versions 2 size 1m;
print-time yes;
severity info;
};
category queries { b_query; };
};
Я провел несколько онлайн-тестов, чтобы еще раз убедиться, что мой DNS-сервер не является открытым преобразователем. Успешно: Открытый преобразователь не найден.
Помощь очень ценится!