EC2에서 DNS 서버를 실행 중이며 어제 청구 대시 보드를 확인하고 이번 달에 1.86TB의 사용 된 데이터를 발견했을 때 어제 약 20mbps를 추진하고있었습니다. 그것은 작은 프로젝트 랩에 대한 큰 청구서입니다. 나는 성능 저하를 눈치 채지 못했고 이전에 트래픽 임계 값을 설정하지 않았지만 지금은 대역폭 요금이 $ 200 이상이 들었습니다.
누군가가 내 DNS 서버를 증폭 공격의 일부로 사용한 것 같습니다. 그러나 나는 방법에 대한 손실이 있습니다.
구성은 다음과 같습니다.
// BBB.BBB.BBB.BBB = ns2.mydomain.com ip address
options {
listen-on port 53 { any; };
// listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-transfer { BBB.BBB.BBB.BBB; };
allow-query-cache { BBB.BBB.BBB.BBB; };
allow-query { any; };
allow-recursion { none; };
empty-zones-enable no;
forwarders { 8.8.8.8; 8.8.4.4; };
fetch-glue no;
recursion no;
dnssec-enable yes;
dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "mydomain.com" IN {
type master;
file "zones/mydomain.com";
allow-transfer { BBB.BBB.BBB.BBB; localhost; };
};
이 구성이 주어지면 로컬에서 호스팅하지 않는 영역에 대한 쿼리에 응답하지 않아야합니까? 이 서버는 일부 도메인의 SOA이지만 다른 서버가 조회하는 데는 사용되지 않습니다 (모두 OpenDNS 또는 Google에 대해 해결 함). 여기에 어떤 지시가 잘못 되었습니까, 아니면 잊고 있습니까? 내 로그 (63MB 이상)는 다음으로 가득 차 있습니다.
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
9
이것은 귀하의 질문에 대한 답변은 아니지만 청구 알림 docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/…를
—
Tim
RFC 7873을 지원하지 않는 모든 클라이언트에 대해 강제로 TCP로 폴백 할 수 있습니까?
—
kasperd
BIND의 속도 제한
—
Rui F Ribeiro
@RuiFRibeiro 신뢰할 수있는 DNS 서버의 속도 제한이 유용 할 수 있습니다. 그러나 속도 제한 자체는 DoS 공격에서 악용 될 수있는 약점이 될 수 있습니다. 공격자가 속도 제한을 사용하여 신뢰할 수있는 서버에서 호스트 된 도메인에 대한 쿼리를 사용하여 되풀이를 넘치면 해당 되풀이의 합법적 인 사용자는 더 이상 공격을 받고있는 도메인의 레코드를 확인할 수 없습니다. 광범위하게 배포되지 않은 NSEC / NSEC3 을 적극적으로 사용 하면 이러한 공격을 완화 할 수 있습니다 .
—
kasperd