免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 3332 | 回复: 11

[DNS] bind DNS疑似遭攻击 [复制链接]

论坛徽章:
2
2015年辞旧岁徽章
日期:2015-03-03 16:54:15IT运维版块每日发帖之星
日期:2015-09-11 06:20:00
发表于 2013-10-09 17:04 |显示全部楼层
各位大牛,

我的一台AS4上的bind DNS疑似遭到攻击了,因为最近发现该服务器往外的流量增加了2M左右,进的流程才几百K,tcpdump了下发下了一些异常的情况如下

00:36:21.864742 IP 108.185.4.188.18725 > 11.11.11.11.53:  64450+ [1au] ANY? irlwinning.com. (4
00:36:21.864753 IP 108.185.4.188.18725 > 11.11.11.11.53:  64450+ [1au] ANY? irlwinning.com. (4
00:36:21.864759 IP 108.185.4.188.18725 > 11.11.11.11.53:  64450+ [1au] ANY? irlwinning.com. (4
00:36:21.864765 IP 108.185.4.188.18725 > 11.11.11.11.53:  64450+ [1au] ANY? irlwinning.com. (4
00:36:21.864771 IP 108.185.4.188.18725 > 11.11.11.11.53:  64450+ [1au] ANY? irlwinning.com. (4
00:36:21.865680 IP 11.11.11.11.53 > 108.185.4.188.18725:  64450 243/2/1 A 1.1.1.25,[|domain]
00:36:21.865730 IP 11.11.11.11.53 > 108.185.4.188.18725:  64450 243/2/1 A 1.1.1.240,[|domain]
00:36:21.865786 IP 11.11.11.11.53 > 108.185.4.188.18725:  64450 243/2/1 A 1.1.1.236,[|domain]
00:36:21.866040 IP 11.11.11.11.53 > 108.185.4.188.18725:  64450 243/2/1 A 1.1.1.208,[|domain]
00:36:21.866093 IP 11.11.11.11.53 > 108.185.4.188.18725:  64450 243/2/1 A 1.1.1.212,[|domain]

用iptraf发现一些这样的,这些包比较大
│ UDP (1500 bytes) from 11.11.11.11:53 to 72.64.228.64:9943 on eth0                                                                                                           │
│ UDP fragment (1500 bytes) from 11.11.11.11 to 72.64.228.64 on eth0                                                                                                          │
│ UDP fragment (1075 bytes) from 11.11.11.11 to 72.64.228.64 on eth0                                                                                                          │
│ UDP (1500 bytes) from 11.11.11.11:53 to 72.64.228.64:9943 on eth0                                                                                                           │
│ UDP fragment (1500 bytes) from 11.11.11.11 to 72.64.228.64 on eth0                                                                                                          │
│ UDP fragment (1075 bytes) from 11.11.11.11 to 72.64.228.64 on eth0   

该DNS服务是以前别人装的,我一直没有动过,在这一块也不熟悉,不敢随便动,请指教下如何应对,感谢!

论坛徽章:
16
IT运维版块每日发帖之星
日期:2015-10-02 06:20:00IT运维版块每月发帖之星
日期:2015-09-11 19:30:52IT运维版块每周发帖之星
日期:2015-09-11 19:20:31IT运维版块每日发帖之星
日期:2015-08-26 06:20:00每日论坛发贴之星
日期:2015-08-20 06:20:00IT运维版块每日发帖之星
日期:2015-08-20 06:20:002015年辞旧岁徽章
日期:2015-03-03 16:54:15金牛座
日期:2014-05-04 16:58:09双子座
日期:2013-12-17 16:44:37辰龙
日期:2013-11-22 15:20:59狮子座
日期:2013-11-18 22:55:08射手座
日期:2013-11-12 10:54:26
发表于 2013-10-09 18:55 来自手机 |显示全部楼层
iptables 禁用该ip的53 port

论坛徽章:
1
处女座
日期:2014-01-21 13:20:51
发表于 2013-10-09 20:21 |显示全部楼层

搞个第三方的DDOS软件吧

论坛徽章:
2
2015年辞旧岁徽章
日期:2015-03-03 16:54:15IT运维版块每日发帖之星
日期:2015-09-11 06:20:00
发表于 2013-10-10 11:02 |显示全部楼层
被黑了,对外面的服务器发起DDOS攻击了
iptables禁止IP不行,IP不断变化

论坛徽章:
2
2015年辞旧岁徽章
日期:2015-03-03 16:54:15IT运维版块每日发帖之星
日期:2015-09-11 06:20:00
发表于 2013-10-11 17:18 |显示全部楼层
有遇到过这种情况的么?

论坛徽章:
0
发表于 2013-10-12 08:40 |显示全部楼层
回复 2# wenhq
那就是关闭dns服务了?

论坛徽章:
0
发表于 2013-10-12 08:41 |显示全部楼层
回复 4# machiqiao
是root账号被黑么?

论坛徽章:
16
IT运维版块每日发帖之星
日期:2015-10-02 06:20:00IT运维版块每月发帖之星
日期:2015-09-11 19:30:52IT运维版块每周发帖之星
日期:2015-09-11 19:20:31IT运维版块每日发帖之星
日期:2015-08-26 06:20:00每日论坛发贴之星
日期:2015-08-20 06:20:00IT运维版块每日发帖之星
日期:2015-08-20 06:20:002015年辞旧岁徽章
日期:2015-03-03 16:54:15金牛座
日期:2014-05-04 16:58:09双子座
日期:2013-12-17 16:44:37辰龙
日期:2013-11-22 15:20:59狮子座
日期:2013-11-18 22:55:08射手座
日期:2013-11-12 10:54:26
发表于 2013-10-12 15:26 |显示全部楼层
不是,禁用这歌个ip的53 query

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2013-10-12 16:47 |显示全部楼层
iptables -I INPUT -s 11.11.11.11 -p udp --dport 53 -j DROP
其他的ip类似,看看效果

论坛徽章:
2
2015年辞旧岁徽章
日期:2015-03-03 16:54:15IT运维版块每日发帖之星
日期:2015-09-11 06:20:00
发表于 2013-10-15 15:27 |显示全部楼层
DNS停掉的话,流量立马就下去了。
因为有主从两台DNS,我前两天停掉了一台,昨天换了一台起来,目前2台都消停了。
不过根本的应对方法还是没有找到,只是暂时没有攻击了
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。




----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP