免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 服务器应用 bind DNS疑似遭攻击
12下一页
最近访问板块 发新帖
查看: 3963 | 回复: 11
打印 上一主题 下一主题

[DNS] bind DNS疑似遭攻击 [复制链接]

machiqiao

论坛徽章:
2
2015年辞旧岁徽章 日期:2015-03-03 16:54:15IT运维版块每日发帖之星 日期:2015-09-11 06:20:00
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2013-10-09 17:04 |只看该作者 |倒序浏览
各位大牛,

我的一台AS4上的bind DNS疑似遭到攻击了,因为最近发现该服务器往外的流量增加了2M左右,进的流程才几百K,tcpdump了下发下了一些异常的情况如下

00:36:21.864742 IP 108.185.4.188.18725 > 11.11.11.11.53:  64450+ [1au] ANY? irlwinning.com. (4
00:36:21.864753 IP 108.185.4.188.18725 > 11.11.11.11.53:  64450+ [1au] ANY? irlwinning.com. (4
00:36:21.864759 IP 108.185.4.188.18725 > 11.11.11.11.53:  64450+ [1au] ANY? irlwinning.com. (4
00:36:21.864765 IP 108.185.4.188.18725 > 11.11.11.11.53:  64450+ [1au] ANY? irlwinning.com. (4
00:36:21.864771 IP 108.185.4.188.18725 > 11.11.11.11.53:  64450+ [1au] ANY? irlwinning.com. (4
00:36:21.865680 IP 11.11.11.11.53 > 108.185.4.188.18725:  64450 243/2/1 A 1.1.1.25,[|domain]
00:36:21.865730 IP 11.11.11.11.53 > 108.185.4.188.18725:  64450 243/2/1 A 1.1.1.240,[|domain]
00:36:21.865786 IP 11.11.11.11.53 > 108.185.4.188.18725:  64450 243/2/1 A 1.1.1.236,[|domain]
00:36:21.866040 IP 11.11.11.11.53 > 108.185.4.188.18725:  64450 243/2/1 A 1.1.1.208,[|domain]
00:36:21.866093 IP 11.11.11.11.53 > 108.185.4.188.18725:  64450 243/2/1 A 1.1.1.212,[|domain]

用iptraf发现一些这样的,这些包比较大
│ UDP (1500 bytes) from 11.11.11.11:53 to 72.64.228.64:9943 on eth0                                                                                                           │
│ UDP fragment (1500 bytes) from 11.11.11.11 to 72.64.228.64 on eth0                                                                                                          │
│ UDP fragment (1075 bytes) from 11.11.11.11 to 72.64.228.64 on eth0                                                                                                          │
│ UDP (1500 bytes) from 11.11.11.11:53 to 72.64.228.64:9943 on eth0                                                                                                           │
│ UDP fragment (1500 bytes) from 11.11.11.11 to 72.64.228.64 on eth0                                                                                                          │
│ UDP fragment (1075 bytes) from 11.11.11.11 to 72.64.228.64 on eth0   

该DNS服务是以前别人装的,我一直没有动过,在这一块也不熟悉,不敢随便动,请指教下如何应对,感谢!
wenhq

论坛徽章:
16
IT运维版块每日发帖之星 日期:2015-10-02 06:20:00IT运维版块每月发帖之星 日期:2015-09-11 19:30:52IT运维版块每周发帖之星 日期:2015-09-11 19:20:31IT运维版块每日发帖之星 日期:2015-08-26 06:20:00每日论坛发贴之星 日期:2015-08-20 06:20:00IT运维版块每日发帖之星 日期:2015-08-20 06:20:002015年辞旧岁徽章 日期:2015-03-03 16:54:15金牛座 日期:2014-05-04 16:58:09双子座 日期:2013-12-17 16:44:37辰龙 日期:2013-11-22 15:20:59狮子座 日期:2013-11-18 22:55:08射手座 日期:2013-11-12 10:54:26
2 [报告]
发表于 2013-10-09 18:55 来自手机 |只看该作者
iptables 禁用该ip的53 port
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
webdna

论坛徽章:
1
处女座 日期:2014-01-21 13:20:51
3 [报告]
发表于 2013-10-09 20:21 |只看该作者

搞个第三方的DDOS软件吧
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
machiqiao

论坛徽章:
2
2015年辞旧岁徽章 日期:2015-03-03 16:54:15IT运维版块每日发帖之星 日期:2015-09-11 06:20:00
4 [报告]
发表于 2013-10-10 11:02 |只看该作者
被黑了,对外面的服务器发起DDOS攻击了
iptables禁止IP不行,IP不断变化
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
machiqiao

论坛徽章:
2
2015年辞旧岁徽章 日期:2015-03-03 16:54:15IT运维版块每日发帖之星 日期:2015-09-11 06:20:00
5 [报告]
发表于 2013-10-11 17:18 |只看该作者
有遇到过这种情况的么?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
walkermyy

论坛徽章:
0
6 [报告]
发表于 2013-10-12 08:40 |只看该作者
回复 2# wenhq
那就是关闭dns服务了?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
walkermyy

论坛徽章:
0
7 [报告]
发表于 2013-10-12 08:41 |只看该作者
回复 4# machiqiao
是root账号被黑么?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
wenhq

论坛徽章:
16
IT运维版块每日发帖之星 日期:2015-10-02 06:20:00IT运维版块每月发帖之星 日期:2015-09-11 19:30:52IT运维版块每周发帖之星 日期:2015-09-11 19:20:31IT运维版块每日发帖之星 日期:2015-08-26 06:20:00每日论坛发贴之星 日期:2015-08-20 06:20:00IT运维版块每日发帖之星 日期:2015-08-20 06:20:002015年辞旧岁徽章 日期:2015-03-03 16:54:15金牛座 日期:2014-05-04 16:58:09双子座 日期:2013-12-17 16:44:37辰龙 日期:2013-11-22 15:20:59狮子座 日期:2013-11-18 22:55:08射手座 日期:2013-11-12 10:54:26
8 [报告]
发表于 2013-10-12 15:26 |只看该作者
不是,禁用这歌个ip的53 query
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
9 [报告]
发表于 2013-10-12 16:47 |只看该作者
iptables -I INPUT -s 11.11.11.11 -p udp --dport 53 -j DROP
其他的ip类似,看看效果
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
machiqiao

论坛徽章:
2
2015年辞旧岁徽章 日期:2015-03-03 16:54:15IT运维版块每日发帖之星 日期:2015-09-11 06:20:00
10 [报告]
发表于 2013-10-15 15:27 |只看该作者
DNS停掉的话,流量立马就下去了。
因为有主从两台DNS,我前两天停掉了一台,昨天换了一台起来,目前2台都消停了。
不过根本的应对方法还是没有找到,只是暂时没有攻击了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP