DNS攻击问题

wp1998

这几天dns流量在某些时候（主要集中在半夜）比较异常，平时只有1M左右，但是这时会顶到20M，持续时间一般都在半个小时左右，虽然目前带宽较为充足，不至于影响正常业务，但是仍然存在隐患。

检查了query日志，基本都是对于sina.com的A查询，来源IP不定变换，但是我查了几个都是各地的dns服务器。

估计是受到了攻击，检查了bind 9.3的配置，已经将递归查询关闭（recursion no），而且对allow-query做了acl限制，但是仍然没有效果，请问可能是那方面的原因?可以通过哪些方法进行控制?

llzqq

除非你的DNS是sina.com的权威服务器，否则各地DNS怎么会向你的DNS查询sina.com呢。

wp1998

你好，这是query日志中的记录

10-Apr-2008 00:50:23.937 queries: client 61.132.220.84#2607: view telecom: query: sina.com IN A +
10-Apr-2008 00:50:23.938 queries: client 61.132.220.84#2746: view telecom: query: sina.com IN A +
10-Apr-2008 00:50:23.938 queries: client 61.132.220.84#2614: view telecom: query: sina.com IN A +
10-Apr-2008 00:50:23.938 queries: client 61.132.220.84#2603: view telecom: query: sina.com IN A +
10-Apr-2008 00:50:23.938 queries: client 61.132.220.84#2644: view telecom: query: sina.com IN A +
10-Apr-2008 00:50:23.938 queries: client 61.132.220.84#2723: view telecom: query: sina.com IN A +
10-Apr-2008 00:50:23.938 queries: client 61.132.220.84#2630: view telecom: query: sina.com IN A +
10-Apr-2008 00:50:23.938 queries: client 61.132.220.84#2670: view telecom: query: sina.com IN A +
.......

我也怀疑是构造的虚假请求。。

linux_admin

但是我查了几个都是各地的dns服务器

有点恐怖了啊。
攻击的前奏，估计是先试试效果。

llzqq

原帖由 linux_admin 于 2008-4-10 10:22 发表
但是我查了几个都是各地的dns服务器

有点恐怖了啊。
攻击的前奏，估计是先试试效果。

难道各地的DNS被黑了。把sina.com的NS指向了LZ的DNS。可能性不大


另外61.132.220.84这个并不是DNS啊。

[ 本帖最后由 llzqq 于 2008-4-10 10:52 编辑 ]

wp1998

本来是想抓包下来让大家分析的，不过最近几天没有遇到类似的情况，下次发生这样的情况的时候我再提供些更详细的材料。

这是Dns当时的流量情况：



在做了禁止轮询和query acl之后可以看到dns服务器out流出的流量减小很多，流入的仍然没有变化。

这是我们dns日常监控的图，那几天的query并发量非常大

wgl155

感觉像是ddos攻击，建议加硬件ddos防火墙，否者不好防的