这是一个创建于 3689 天前的主题,其中的信息可能已经有所发展或是发生改变。
本来是建来自用,加上防污染。
现在被人用于放大攻击,请求量非常大
请问怎么屏蔽这些攻击啊
Sep 30 11:25:44 dnsmasq[15372]: query[A] epctiheb.www.s88822.com from 88.211.183.171
Sep 30 11:25:45 dnsmasq[15372]: query[A] qporilwf.www.s88822.com from 82.46.0.226
Sep 30 11:25:45 dnsmasq[15372]: query[A] mpibilkncnwbwb.www.S99933.com from 86.118.208.44
Sep 30 11:25:45 dnsmasq[15372]: query[A] dbumzvloh.www.S88855.com from 94.165.9.7
Sep 30 11:25:45 dnsmasq[15372]: query[A] qdcjsrwfmpwr.www.080.com from 121.194.43.52
Sep 30 11:25:45 dnsmasq[15372]: query[A] ebcxsdcvyhuj.www.S99933.com from 39.229.232.1
Sep 30 11:25:46 dnsmasq[15372]: query[A] vkvxixmnjohqnog.www.S11888.com from 58.62.37.62
Sep 30 11:25:46 dnsmasq[15372]: query[A] x.www.S99933.com from 56.146.33.196
Sep 30 11:25:47 dnsmasq[15372]: query[A] gchsblceegp.www.S88855.com from 85.218.71.173
Sep 30 11:25:47 dnsmasq[15372]: query[A] cpkbgjqfmxmhqp.www.080.com from 126.207.94.210
Sep 30 11:25:47 dnsmasq[15372]: query[A] gxuxatelurqjcp.www.S11888.com from 89.54.39.39
Sep 30 11:25:47 dnsmasq[15372]: query[A] pxyjtgibiqa.www.S99933.com from 6.138.41.27
Sep 30 11:25:48 dnsmasq[15372]: query[A] rsoyjzeci.www.S88855.com from 62.102.20.82
Sep 30 11:25:48 dnsmasq[15372]: query[A] otgbkdaxqxuj.www.080.com from 85.101.17.224
Sep 30 11:25:49 dnsmasq[15372]: query[A] nbcqefthiwxym.www.1809.com from 121.143.78.163
Sep 30 11:25:49 dnsmasq[15372]: query[A] shotivsxefixyp.www.S99933.com from 119.192.175.56
Sep 30 11:25:50 dnsmasq[15372]: query[A] zwh.www.S11888.com from 5.40.157.10
现在被人用于放大攻击,请求量非常大
请问怎么屏蔽这些攻击啊
Sep 30 11:25:44 dnsmasq[15372]: query[A] epctiheb.www.s88822.com from 88.211.183.171
Sep 30 11:25:45 dnsmasq[15372]: query[A] qporilwf.www.s88822.com from 82.46.0.226
Sep 30 11:25:45 dnsmasq[15372]: query[A] mpibilkncnwbwb.www.S99933.com from 86.118.208.44
Sep 30 11:25:45 dnsmasq[15372]: query[A] dbumzvloh.www.S88855.com from 94.165.9.7
Sep 30 11:25:45 dnsmasq[15372]: query[A] qdcjsrwfmpwr.www.080.com from 121.194.43.52
Sep 30 11:25:45 dnsmasq[15372]: query[A] ebcxsdcvyhuj.www.S99933.com from 39.229.232.1
Sep 30 11:25:46 dnsmasq[15372]: query[A] vkvxixmnjohqnog.www.S11888.com from 58.62.37.62
Sep 30 11:25:46 dnsmasq[15372]: query[A] x.www.S99933.com from 56.146.33.196
Sep 30 11:25:47 dnsmasq[15372]: query[A] gchsblceegp.www.S88855.com from 85.218.71.173
Sep 30 11:25:47 dnsmasq[15372]: query[A] cpkbgjqfmxmhqp.www.080.com from 126.207.94.210
Sep 30 11:25:47 dnsmasq[15372]: query[A] gxuxatelurqjcp.www.S11888.com from 89.54.39.39
Sep 30 11:25:47 dnsmasq[15372]: query[A] pxyjtgibiqa.www.S99933.com from 6.138.41.27
Sep 30 11:25:48 dnsmasq[15372]: query[A] rsoyjzeci.www.S88855.com from 62.102.20.82
Sep 30 11:25:48 dnsmasq[15372]: query[A] otgbkdaxqxuj.www.080.com from 85.101.17.224
Sep 30 11:25:49 dnsmasq[15372]: query[A] nbcqefthiwxym.www.1809.com from 121.143.78.163
Sep 30 11:25:49 dnsmasq[15372]: query[A] shotivsxefixyp.www.S99933.com from 119.192.175.56
Sep 30 11:25:50 dnsmasq[15372]: query[A] zwh.www.S11888.com from 5.40.157.10
 |
1
tms 2014-09-30 11:42:53 +08:00
只允许自己的IP使用
|
 |
3
liyaoxinchifan 2014-09-30 13:50:40 +08:00
你用的是VPS吗,我VPS上的BIND之前同样被攻击了,服务商直接后台给我发tk,不解决就要关VPS...
|
 |
4
AstroProfundis 2014-09-30 13:54:48 +08:00  1
dnsmasq 监听在本地非标准端口,前面套一层bind指定上游为本地的dnsmasq的端口,然后bind上面设置相应频率限制(RRL),centos系这个功能是已经打开了的,archlinux可以用aur里面我打包的 bind-rl 别的发行版没试过... https://kb.isc.org/article/AA-01000/0/A-Quick-Introduction-to-Response-Rate-Limiting.html
|
 |
5
lhbc OP @liyaoxinchifan 我的是国内的服务器
|
 |
6
google456 2014-09-30 16:55:30 +08:00
别人怎么会知道的???
|
|
7
lhbc OP @AstroProfundis 这个方法不错
因为DNS和VPN架在一起,VPN会下发路由给客户端 下午修改了下架构,服务器绑多一个内网IP,VPN把这个内网的路由下发到VPN客户端,dnsmasq只绑这个内网IP 测试Windows、OS X、iOS、Android的VPN客户端均无问题 暂时解决了这个问题 |
|
8
lhbc OP @google456 攻击者要发动这种攻击,肯定会扫遍全球IP的53端口
各种常见端口都有人扫。以前有同事上新服务器,root用了弱密码,没改SSHD端口,上架一两个小时就被黑了 所以目前国内运营商的DNS,都只限省内IP访问 |
|
9
AstroProfundis 2014-09-30 21:18:49 +08:00
@lhbc 哦哦VPN用不需要给外网访问,你这样更好,我是搞了个类似公共DNS的东西自己用,就只能这样蛋疼地绕一下_(:зゝ∠)_
|
 |
10
aveline 2014-10-01 00:57:44 +08:00 1
我所有的递归 DNS 服务器都部署了这个黑名单,挺好用的 :-)
https://github.com/smurfmonitor/dns-iptables-rules |
Select Language