我也发一个讨论主题：如何将恶意使用DNS的IP挑出来

cpss

现在蠕虫病毒满网爬，很多人的PC中毒了自己也不知道，任由PC疯狂向外发送垃圾邮件，同时也会造成大量的dns解析请求。我在dns用"ipfstat -t"监控时发现，排在前几名的IP几乎都是疯狂在解析MX，如下面是我用tcpdump抓的信息：
root@mydns#tcpdump -s 0 -x host myclient_IP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ce0, link-type EN10MB (Ethernet), capture size 65535 bytes
04:52:42.605216 IP myclient.2235 >; mydns.domain:  14424 MX? sexnet.com. (2
04:52:42.629182 IP myclient.2235 >; mydns.domain:  36696+ MX? gto.net.om. (2
04:52:42.658890 IP myclient.2235 >; mydns.domain:  8239+ MX? gto.net.om. (2
04:52:42.662981 IP myclient.2235 >; mydns.domain:  22362+ A? mail1.house.net. (33)
04:52:42.684752 IP myclient.2235 >; mydns.domain:  6487+ A? gate.megacorp.com. (35)
04:52:42.691710 IP myclient.2235 >; mydns.domain:  34648+ MX? gto.net.om. (2
04:52:42.691794 IP myclient.2235 >; mydns.domain:  11353+ A? mxs.sandai.net. (32)
04:52:42.720076 IP myclient.2235 >; mydns.domain:  17923+ MX? sexnet.com. (2
04:52:42.721291 IP myclient.2235 >; mydns.domain:  52795+ MX? nets.net.pk. (29)
04:52:42.727873 IP myclient.2235 >; mydns.domain:  55298 MX? sexnet.com. (2
04:52:42.729201 IP myclient.2235 >; mydns.domain:  52795 MX? nets.net.pk. (29)
04:52:42.812564 IP myclient.2235 >; mydns.domain:  40517+ A? gate.sandai.net. (33)
04:52:42.845057 IP myclient.2235 >; mydns.domain:  52795+ MX? nets.net.pk. (29)
04:52:42.852921 IP myclient.2235 >; mydns.domain:  31273 MX? nets.net.pk. (29)
04:52:43.172492 IP myclient.2235 >; mydns.domain:  28503+ MX? sexnet.com. (2
04:52:43.185953 IP myclient.2235 >; mydns.domain:  28247 MX? sexnet.com. (2
04:52:43.301119 IP myclient.2235 >; mydns.domain:  53051+ A? mail.znwb.com. (31)
04:52:43.304324 IP myclient.2235 >; mydns.domain:  1879+ MX? sexnet.com. (2
04:52:43.318280 IP myclient.2235 >; mydns.domain:  54327 MX? sexnet.com. (2
04:52:43.332524 IP myclient.2235 >; mydns.domain:  24667+ MX? gto.net.om. (28)
04:52:43.351482 IP myclient.2235 >; mydns.domain:  52795+ A? mx.megacorp.com. (33)
04:52:43.394869 IP myclient.2235 >; mydns.domain:  53051+ A? mail.znwb.com. (31)
04:52:43.471331 IP myclient.2235 >; mydns.domain:  9815+ MX? sexnet.com. (28)
04:52:43.472906 IP myclient.2235 >; mydns.domain:  18781+ MX? gto.net.om. (28)
04:52:43.479244 IP myclient.2235 >; mydns.domain:  44630 MX? sexnet.com. (28)
04:52:43.504215 IP myclient.2235 >; mydns.domain:  35676+ A? mail.backup.lst. (33)

我可以手工修改named.conf，不允许我的dns为该IP服务。但我无法实现自动识别这种恶意使用DNS的IP、并自动拒绝为他们服务。
请大家讨论，看如何解决该问题。谢谢。

abel

我可以手工修改named.conf，不允许我的dns为该IP服务。但我无法实现自动识别这种恶意使用DNS的IP、并自动拒绝为他们服务。
请大家讨论，看如何解决该问题。谢谢

這個問題用 DNS 並不好解,除非 DNS 有 count 功能 , 可惜沒有...
且手動加減 efford 太大,並不能避免 user 將 dns 指走後,仍用你的 mail server
且現在 Windows 2000 以上平台,多數 Resolver 就會做 DNS Cache....
個人認為,正確解法應從 mail server 著手,就要看你的 mail server 有沒有
檔迸發連接的功能了,不然就從 firewall 等著手

cpss

可问题是我这里只负责网络和DNS，并不负责mail server。许多mail server垃圾邮件满天飞，我也没有办法啊。

abel

想想看樓主的帖中的 query type,
誰會發起 MX 查詢 ?

kor

有没有能自动进行count然后处理的程序呢，现成的，毕竟对dns进行审计是每一个管理员都想完成的事情

cpss

dnstop可以统计，但它不会做进一步的处理。如果谁能开发个dns防攻击的软件就好了。我觉得可以从抓包信息中分析（dnstop是不是这样干的？），然后排序，并按照事先预制的阀值来审计使用dns的client，如果发现某个client可疑（我说的是一个入侵检测系统？呵呵），就在named.conf中设置不对其解析，或干脆直接在防火墙上阻止该包进入。
我编程比较菜，无法实现上面的思想。哪位老大能不能百忙中抽出点时间，编一个类似的程序，解决该问题，救广大受苦受难的DNS管理员于水火之中。