ubuntu – 对BIND可能的UDP攻击?

前端之家收集整理的这篇文章主要介绍了ubuntu – 对BIND可能的UDP攻击?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
大家好,

我上个月感到惊讶的是,我的EC2实例(ubuntu精确服务器),应该在免费套餐之下,仍然积累了大量的流量……今天,在检查我当前的账单时,我注意到我已经有了大量的流量,虽然还在月中,我担心到月底我的账单会是什么……

我安装了带宽,几分钟后,我注意到很多UDP流量到“108.162.233.15”.这显然是一个cloudflare IP,我没有任何使用cloudflare的东西(据我所知).

所以我运行“iftop”来查看正在使用的端口,我看到UDP流量从端口80到我的端口53 …为什么网络服务器查询dns?

所以我停止在我的服务器上绑定,并在前台调试模式下运行它,并看到以下查询,连续重复:

17-Nov-2012 12:30:58.216 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: endrequest
17-Nov-2012 12:30:58.217 client @0x7fbee05126e0: udprecv
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: endrequest

我的问题是……这是正常的吗?我应该担心吗?或者这与我的数据费用完全无关,我应该等待看到带宽更多的数据?

先感谢您.

它看起来我的服务器正在用于DNS放大攻击.
我不知道亚马逊EC2的定价模式,但如果这个流量没有计算,我会感到惊讶.

它的工作原理如下:
有人使用欺骗性IP 108.162.233.15向您的服务器发送DNS查询.
您的服务器将此查询应答给真正的受害者 – 108.162.233.15.
查询非常小,但答案很大(请查看dig -t ANY isc.org).

真正的问题是,为什么您的服务器会回答这些问题?
您是否有意为每个人使用公共递归DNS?

如果没有,则需要禁用递归或将其限制为可信/已知客户端(递归否;以及allow-query-cache {none;};).

原文链接:https://www.f2er.com/ubuntu/348318.html

猜你在找的Ubuntu相关文章