免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2774 | 回复: 6
打印 上一主题 下一主题

[DNS] 我也发一个讨论主题:如何将恶意使用DNS的IP挑出来 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2004-12-12 20:59 |只看该作者 |倒序浏览
现在蠕虫病毒满网爬,很多人的PC中毒了自己也不知道,任由PC疯狂向外发送垃圾邮件,同时也会造成大量的dns解析请求。我在dns用"ipfstat -t"监控时发现,排在前几名的IP几乎都是疯狂在解析MX,如下面是我用tcpdump抓的信息:
root@mydns#tcpdump -s 0 -x host myclient_IP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ce0, link-type EN10MB (Ethernet), capture size 65535 bytes
04:52:42.605216 IP myclient.2235 >; mydns.domain:  14424 MX? sexnet.com. (2
04:52:42.629182 IP myclient.2235 >; mydns.domain:  36696+ MX? gto.net.om. (2
04:52:42.658890 IP myclient.2235 >; mydns.domain:  8239+ MX? gto.net.om. (2
04:52:42.662981 IP myclient.2235 >; mydns.domain:  22362+ A? mail1.house.net. (33)
04:52:42.684752 IP myclient.2235 >; mydns.domain:  6487+ A? gate.megacorp.com. (35)
04:52:42.691710 IP myclient.2235 >; mydns.domain:  34648+ MX? gto.net.om. (2
04:52:42.691794 IP myclient.2235 >; mydns.domain:  11353+ A? mxs.sandai.net. (32)
04:52:42.720076 IP myclient.2235 >; mydns.domain:  17923+ MX? sexnet.com. (2
04:52:42.721291 IP myclient.2235 >; mydns.domain:  52795+ MX? nets.net.pk. (29)
04:52:42.727873 IP myclient.2235 >; mydns.domain:  55298 MX? sexnet.com. (2
04:52:42.729201 IP myclient.2235 >; mydns.domain:  52795 MX? nets.net.pk. (29)
04:52:42.812564 IP myclient.2235 >; mydns.domain:  40517+ A? gate.sandai.net. (33)
04:52:42.845057 IP myclient.2235 >; mydns.domain:  52795+ MX? nets.net.pk. (29)
04:52:42.852921 IP myclient.2235 >; mydns.domain:  31273 MX? nets.net.pk. (29)
04:52:43.172492 IP myclient.2235 >; mydns.domain:  28503+ MX? sexnet.com. (2
04:52:43.185953 IP myclient.2235 >; mydns.domain:  28247 MX? sexnet.com. (2
04:52:43.301119 IP myclient.2235 >; mydns.domain:  53051+ A? mail.znwb.com. (31)
04:52:43.304324 IP myclient.2235 >; mydns.domain:  1879+ MX? sexnet.com. (2
04:52:43.318280 IP myclient.2235 >; mydns.domain:  54327 MX? sexnet.com. (2
04:52:43.332524 IP myclient.2235 >; mydns.domain:  24667+ MX? gto.net.om. (28)
04:52:43.351482 IP myclient.2235 >; mydns.domain:  52795+ A? mx.megacorp.com. (33)
04:52:43.394869 IP myclient.2235 >; mydns.domain:  53051+ A? mail.znwb.com. (31)
04:52:43.471331 IP myclient.2235 >; mydns.domain:  9815+ MX? sexnet.com. (28)
04:52:43.472906 IP myclient.2235 >; mydns.domain:  18781+ MX? gto.net.om. (28)
04:52:43.479244 IP myclient.2235 >; mydns.domain:  44630 MX? sexnet.com. (28)
04:52:43.504215 IP myclient.2235 >; mydns.domain:  35676+ A? mail.backup.lst. (33)

我可以手工修改named.conf,不允许我的dns为该IP服务。但我无法实现自动识别这种恶意使用DNS的IP、并自动拒绝为他们服务。
请大家讨论,看如何解决该问题。谢谢。

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
2 [报告]
发表于 2004-12-13 20:16 |只看该作者

我也发一个讨论主题:如何将恶意使用DNS的IP挑出来

我可以手工修改named.conf,不允许我的dns为该IP服务。但我无法实现自动识别这种恶意使用DNS的IP、并自动拒绝为他们服务。
请大家讨论,看如何解决该问题。谢谢

這個問題用 DNS 並不好解,除非 DNS 有 count 功能 , 可惜沒有...
且手動加減 efford 太大,並不能避免 user 將 dns 指走後,仍用你的 mail server
且現在 Windows 2000 以上平台,多數 Resolver 就會做 DNS Cache....
個人認為,正確解法應從 mail server 著手,就要看你的 mail server 有沒有
檔迸發連接的功能了,不然就從 firewall 等著手

论坛徽章:
0
3 [报告]
发表于 2004-12-14 08:43 |只看该作者

我也发一个讨论主题:如何将恶意使用DNS的IP挑出来

可问题是我这里只负责网络和DNS,并不负责mail server。许多mail server垃圾邮件满天飞,我也没有办法啊。
yeniu 该用户已被删除
4 [报告]
发表于 2004-12-15 23:30 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
5 [报告]
发表于 2004-12-15 23:36 |只看该作者

我也发一个讨论主题:如何将恶意使用DNS的IP挑出来

想想看樓主的帖中的 query type,
誰會發起 MX 查詢 ?

论坛徽章:
0
6 [报告]
发表于 2004-12-16 17:30 |只看该作者

我也发一个讨论主题:如何将恶意使用DNS的IP挑出来

有没有能自动进行count然后处理的程序呢,现成的,毕竟对dns进行审计是每一个管理员都想完成的事情

论坛徽章:
0
7 [报告]
发表于 2004-12-17 10:10 |只看该作者

我也发一个讨论主题:如何将恶意使用DNS的IP挑出来

dnstop可以统计,但它不会做进一步的处理。如果谁能开发个dns防攻击的软件就好了。我觉得可以从抓包信息中分析(dnstop是不是这样干的?),然后排序,并按照事先预制的阀值来审计使用dns的client,如果发现某个client可疑(我说的是一个入侵检测系统?呵呵),就在named.conf中设置不对其解析,或干脆直接在防火墙上阻止该包进入。
我编程比较菜,无法实现上面的思想。哪位老大能不能百忙中抽出点时间,编一个类似的程序,解决该问题,救广大受苦受难的DNS管理员于水火之中。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP