bind DNS疑似遭攻击
各位大牛,我的一台AS4上的bind DNS疑似遭到攻击了,因为最近发现该服务器往外的流量增加了2M左右,进的流程才几百K,tcpdump了下发下了一些异常的情况如下
00:36:21.864742 IP 108.185.4.188.18725 > 11.11.11.11.53:64450+ ANY? irlwinning.com. (48)
00:36:21.864753 IP 108.185.4.188.18725 > 11.11.11.11.53:64450+ ANY? irlwinning.com. (48)
00:36:21.864759 IP 108.185.4.188.18725 > 11.11.11.11.53:64450+ ANY? irlwinning.com. (48)
00:36:21.864765 IP 108.185.4.188.18725 > 11.11.11.11.53:64450+ ANY? irlwinning.com. (48)
00:36:21.864771 IP 108.185.4.188.18725 > 11.11.11.11.53:64450+ ANY? irlwinning.com. (48)
00:36:21.865680 IP 11.11.11.11.53 > 108.185.4.188.18725:64450 243/2/1 A 1.1.1.25,[|domain]
00:36:21.865730 IP 11.11.11.11.53 > 108.185.4.188.18725:64450 243/2/1 A 1.1.1.240,[|domain]
00:36:21.865786 IP 11.11.11.11.53 > 108.185.4.188.18725:64450 243/2/1 A 1.1.1.236,[|domain]
00:36:21.866040 IP 11.11.11.11.53 > 108.185.4.188.18725:64450 243/2/1 A 1.1.1.208,[|domain]
00:36:21.866093 IP 11.11.11.11.53 > 108.185.4.188.18725:64450 243/2/1 A 1.1.1.212,[|domain]
用iptraf发现一些这样的,这些包比较大
│ UDP (1500 bytes) from 11.11.11.11:53 to 72.64.228.64:9943 on eth0 │
│ UDP fragment (1500 bytes) from 11.11.11.11 to 72.64.228.64 on eth0 │
│ UDP fragment (1075 bytes) from 11.11.11.11 to 72.64.228.64 on eth0 │
│ UDP (1500 bytes) from 11.11.11.11:53 to 72.64.228.64:9943 on eth0 │
│ UDP fragment (1500 bytes) from 11.11.11.11 to 72.64.228.64 on eth0 │
│ UDP fragment (1075 bytes) from 11.11.11.11 to 72.64.228.64 on eth0
该DNS服务是以前别人装的,我一直没有动过,在这一块也不熟悉,不敢随便动,请指教下如何应对,感谢!
iptables 禁用该ip的53 port :mrgreen:
搞个第三方的DDOS软件吧 被黑了,对外面的服务器发起DDOS攻击了
iptables禁止IP不行,IP不断变化 有遇到过这种情况的么? 回复 2# wenhq
那就是关闭dns服务了? 回复 4# machiqiao
是root账号被黑么? 不是,禁用这歌个ip的53 query iptables -I INPUT -s 11.11.11.11 -p udp --dport 53 -j DROP
其他的ip类似,看看效果 DNS停掉的话,流量立马就下去了。
因为有主从两台DNS,我前两天停掉了一台,昨天换了一台起来,目前2台都消停了。
不过根本的应对方法还是没有找到,只是暂时没有攻击了
页:
[1]
2