Máy chủ DNS của tôi đang đẩy 20mbps, tại sao?

22

Tôi đang chạy một máy chủ DNS trong EC2 và nó đã tăng khoảng 20mbps vào ngày hôm qua khi tôi kiểm tra bảng điều khiển thanh toán của mình và tìm thấy 1,86 TB dữ liệu được sử dụng trong tháng này. Đó là một hóa đơn lớn cho phòng thí nghiệm dự án nhỏ của tôi. Tôi chưa bao giờ nhận thấy hiệu suất giảm và không bận tâm đến việc thiết lập các ngưỡng lưu lượng truy cập trước đây, nhưng tôi đã có vì điều này đã khiến tôi mất 200 đô la phí băng thông.

Có vẻ như ai đó đã sử dụng máy chủ DNS của tôi như một phần của cuộc tấn công khuếch đại, tuy nhiên tôi không biết làm thế nào.

Cấu hình bên dưới. 

// BBB.BBB.BBB.BBB = ns2.mydomain.com ip address

options {
        listen-on port 53 { any; };
//      listen-on-v6 port 53 { ::1; };
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-transfer { BBB.BBB.BBB.BBB; };
        allow-query-cache { BBB.BBB.BBB.BBB; };
        allow-query { any; };
        allow-recursion { none; };

        empty-zones-enable no;
        forwarders { 8.8.8.8; 8.8.4.4; };

        fetch-glue no;
        recursion no;

        dnssec-enable yes;
        dnssec-validation yes;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
        type hint;
        file "named.ca";
};

zone "mydomain.com" IN {
        type master;
        file "zones/mydomain.com";
        allow-transfer { BBB.BBB.BBB.BBB; localhost; };
};

Với cấu hình này, tôi KHÔNG nên trả lời bất kỳ truy vấn nào cho vùng tôi không lưu trữ cục bộ phải không? Máy chủ này là SOA cho một vài tên miền, nhưng không được sử dụng để tìm kiếm bất cứ thứ gì bởi các máy chủ khác của tôi (mọi người đều giải quyết chống lại OpenDNS hoặc Google). Tôi đã sai chỉ thị nào ở đây, hay tôi đang quên? Nhật ký của tôi (63MB +) có đầy đủ điều này:

client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
linux  domain-name-system  amazon-ec2  bind 
Russell Anthony
nguồn
9
Điều này không trả lời câu hỏi của bạn, nhưng bạn nên thiết lập cảnh báo thanh toán docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ít
Tim
Bạn có thể chấp nhận việc buộc dự phòng TCP cho tất cả các máy khách mà không cần hỗ trợ RFC 7873 không?
kasperd
1
giới hạn tỷ lệ trong BIND
Rui F Ribeiro
@RuiFRibeiro Giới hạn tỷ lệ trên các máy chủ DNS có thẩm quyền có thể hữu ích. Nhưng bản thân giới hạn tốc độ có thể là một điểm yếu có thể bị khai thác trong các cuộc tấn công DoS. Nếu kẻ tấn công làm ngập một người truy cập với các truy vấn cho một tên miền được lưu trữ trên một máy chủ có thẩm quyền với giới hạn tốc độ, người dùng hợp pháp của người truy cập đó có thể không còn có thể giải quyết các bản ghi trong miền bị tấn công. Cuộc tấn công đó có thể được giảm nhẹ bằng cách sử dụng tích cực NSEC / NSEC3 không được triển khai rộng rãi.
kasperd

Câu trả lời:

19

Ngay cả khi máy chủ của bạn được đặt để chỉ trả lời các truy vấn có thẩm quyền như của bạn, thì nó vẫn có thể được sử dụng cho một cuộc tấn công khuếch đại - ANYcác truy vấn đối với gốc của một vùng có thể kích hoạt phản hồi UDP khá nặng, vì gốc của vùng có xu hướng một số hồ sơ, đặc biệt là với SPF / DKIM / DNSSEC.

Đây có thể là những gì đang xảy ra trên hệ thống của bạn - sử dụng tcpdumpđể xác nhận. Nếu họ đang sử dụng các bản ghi có thẩm quyền của bạn trong một cuộc tấn công khuếch đại, các tùy chọn tốt nhất của bạn sẽ chỉ đơn giản là chuyển sang một IP mới và hy vọng họ không tuân theo, thay đổi các bản ghi gốc vùng của bạn để biến nó thành một vectơ khuếch đại kém hiệu quả hơn hoặc thực hiện giới hạn tốc độ phản hồi (nếu BIND của bạn hỗ trợ nó).

Shane Madden
nguồn
Họ không truy vấn các khu vực của tôi mặc dù ... máy chủ của tôi có nên bỏ những thứ này thay vì trả lời không?
Russell Anthony
4
@RussellAnthony Đối với các mục nhật ký bạn đang thấy, vâng, tôi tin rằng nó đang thả chúng - nhưng, đối với lưu lượng tấn công thành công, sẽ không có mục nhật ký nào được tạo ra, vì vậy về mặt nhật ký, việc sử dụng băng thông là vô hình. Nếu cuộc tấn công vẫn đang diễn ra (vẫn nhận được các mục nhật ký mới?) Tôi cá là có một loạt các ANYtruy vấn thành công cùng với các truy vấn thất bại này.
Shane Madden
2
Đã thêm rate-limit { responses-per-second 1; };và dường như đã giảm khá nhiều lưu lượng. Tôi không biết ràng buộc có thể RRL từ bên trong chính nó.
Russell Anthony
1
Nếu họ thực sự gửi truy vấn cho hồ sơ có thẩm quyền, điều đó có nghĩa là họ phải biết tên miền. Trong trường hợp đó, không có khả năng việc chuyển sang một IP mới sẽ giúp ích vì họ có thể tìm thấy địa chỉ IP mới nhanh như người dùng hợp pháp.
kasperd
6
Chỉ cần đảm bảo rằng giới hạn tỷ lệ của bạn không biến thành vectơ tấn công DoS: nếu kẻ tấn công sử dụng hết giới hạn phản hồi, các bộ đệm hợp pháp (như OpenDNS và google) cũng có thể không giải quyết được tên của bạn.
Jonas Schäfer
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.