Возможная UDP-атака на BIND?

Question

Возможная UDP-атака на BIND?

Здравствуйте все,

В прошлом месяце я был удивлен, когда мой экземпляр EC2 (точный сервер Ubuntu), который по-прежнему должен находиться под бесплатным уровнем, накопил много трафика... сегодня, проверяя мою текущую выписку счетов, я заметил, что у меня уже есть тонны трафика в то время как все еще в середине месяца, и я боюсь, каким будет мой счет к концу месяца...

Я установил пропускную способность, и через несколько минут я заметил много UDP-трафика к "108.162.233.15". это, очевидно, IP-адрес cloudflare, и у меня нет ничего, использующего cloudflare (насколько я знаю).

поэтому я запустил "iftop", чтобы увидеть, какие порты используются, и увидел, что UDP-трафик идет от порта 80 к моему порту 53... зачем веб-серверу запрашивать dns?

поэтому я остановил привязку на своем сервере, запустил его в режиме отладки переднего плана и увидел следующий запрос, повторяющийся непрерывно:

17-Nov-2012 12:30:58.216 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: endrequest
17-Nov-2012 12:30:58.217 client @0x7fbee05126e0: udprecv
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.344 client 108.162.233.15#80: endrequest

мой вопрос... это нормально? я должен беспокоиться? или это не имеет никакого отношения к моим расходам на передачу данных, и мне следует подождать, чтобы увидеть больше данных из полосы пропускания?

заранее спасибо.

4

ubuntu amazon-ec2 bind udp

Источник

Waleed Hamra 17 ноя '12 в 10:55

1 ответ

Решение

Другие вопросы по тегам ubuntu amazon-ec2 bind udp

faker 17 ноя '12 в 12:16 2012-11-17 12:16 · Accepted Answer · 2012-11-17 12:16

Мне кажется, ваш сервер используется для атаки с усилением DNS.
Я не знаю модель ценообразования Amazon EC2, но я был бы удивлен, если бы этот трафик не учитывался.

Это работает так:
Кто-то отправляет DNS-запрос на ваш сервер с поддельным IP-адресом 108.162.233.15.
Ваш сервер отвечает на этот запрос реальной жертве - 108.162.233.15.
Запрос довольно маленький, но ответ довольно большой (проверьте dig -t ANY isc.org).

Реальный вопрос в том, почему ваш сервер отвечает на эти запросы?
Вы намеренно используете общедоступный рекурсивный DNS для всех?

Если нет, необходимо отключить рекурсию или ограничить ее доверенными / известными клиентами (recursion no; а также allow-query-cache {none;};).