怀疑dns被攻击，大家帮忙看看，积分不多，谢谢

aeh

怀疑dns server遭受攻击，但不晓得到底怎么回事，本单位有一个linux dns server
另有一个windows 2003 自带的dns server备用，现在情况是：无论哪台机器只要ip改成上级授权给我们的dns server地址
端口资源就会立即耗尽，无法提供域名解析，不知道各位兄弟姐妹可遇到这种情况，该如何解决

x.x.x.x dns ip
x.x.x.93 本人机器ip
10001 ssh 端口


[root@dns ~]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 x.x.x.x:53            0.0.0.0:*                   LISTEN      
tcp        0      0 x.x.x.x:53            60.30.26.5:2514             SYN_RECV   
tcp        0      0 x.x.x.x:53            60.30.26.5:2511             SYN_RECV   
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      
tcp        1      0 x.x.x.x:53            218.108.235.165:1041        CLOSE_WAIT  
tcp        1      0 x.x.x.x:53            60.191.58.235:1040          CLOSE_WAIT  
tcp      138      0 x.x.x.x:53            218.22.50.19:2182           CLOSE_WAIT  
tcp      138      0 x.x.x.x:53            218.22.50.19:2181           CLOSE_WAIT  
tcp        0      0 :::10001                    :::*                        LISTEN      
tcp        0    512 ::ffff.x.x.x:10001  ::ffff.x.x.93:2386   ESTABLISHED
udp        0      0 0.0.0.0:33152               0.0.0.0:*                              
udp        0      0 0.0.0.0:30208               0.0.0.0:*                              
udp        0      0 0.0.0.0:57600               0.0.0.0:*                              
udp        0      0 0.0.0.0:32768               0.0.0.0:*                              
udp        0      0 0.0.0.0:28417               0.0.0.0:*                              
udp        0      0 0.0.0.0:43905               0.0.0.0:*                              
udp        0      0 0.0.0.0:31490               0.0.0.0:*                              
udp        0      0 0.0.0.0:7171                0.0.0.0:*                     

………………
下面全是一样的，一直到
udp        0      0 0.0.0.0:65533                0.0.0.0:*                     



配置就不用写了吧，毕竟正常时间可以正常提供服务的，而且被攻击时换了windows dns server 还是一样的结果
重新配置一台dns server 只要不配这个授权的ip就能正常使用，一旦改成授权ip，就会立即出现这个情况，非常感谢能给出解决办法

哦，日志里面什么都没有

16hotcom

你的DNS服务器，是不是启用了递归查询服务？如果是，建议关闭试试看。

badb0y

正常的,,

llzqq

看看当时的服务器带宽占用情况，CPU占用情况

aeh

肯定不正常，正常的话就是我大脑不正常来这里问问题了 ，dns大部分时间不可用

aeh

原帖由 llzqq 于 2008-12-9 10:35 发表
看看当时的服务器带宽占用情况，CPU占用情况

刚刚得到的
top - 10:31:38 up 16:57,  2 users,  load average: 1.97, 2.02, 2.00
Tasks:  56 total,   1 running,  55 sleeping,   0 stopped,   0 zombie
Cpu(s):  1.3% us,  3.0% sy,  0.0% ni, 49.4% id, 45.9% wa,  0.0% hi,  0.3% si
Mem:   1034680k total,   560412k used,   474268k free,    43884k buffers
Swap:  2031608k total,        0k used,  2031608k free,   426716k cached

带宽情况没异常

本人用一个小软路由接上去(改成dns地址，转发dns server到电信去)，发现还是一样，本软路由端口立即被0.0.0.0全部占满

刚刚ssh登录的时候要很长时间才能登上去

谢谢大家，继续看看

16hotcom

Cpu(s):  1.3% us,  3.0% sy,  0.0% ni, 49.4% id, 45.9% wa,  0.0% hi,  0.3% si

45.9% wa

看看是什么进程占用了大量的CPU资源。

polokus

有结果了没？

badb0y

汗,,我可没那个意思呀,,WIN下的DNS,打了一个补丁,它就会有N多的UDP进程,不过服务器还是可用的!

aeh

还没有任何结果，一直在被折磨，偶尔能解析一下，大部分时间不能用，希望高手给个意见