DNS-сервер получает спам от ЛЮБЫХ запросов к домену "."

Question

DNS-сервер получает спам от ЛЮБЫХ запросов к домену "."

У меня есть собственный DNS-сервер, и я заметил, что журналы заполняются запросами типа ANY для . (одноточечная) область вместо www.example.com. или другие домены, которые он может обработать. Он не является рекурсивным и обрабатывает только очень специфичные субдомены основных доменов, которые управляются коммерческими провайдерами DNS-хостинга.

Я не отвечаю ни на какой запрос для доменов, которые не являются моими, потому что я хочу избежать злоупотребления для атак с усилением DNS. Пожалуйста, поправьте меня, если это плохо. До этого я отвечал dnslib.RCODE.REFUSED (код 5) коды ответов.

Так что я не совсем уверен, что это какая-то атака или нормальная вещь, которая случается. Это пакеты длительностью около 5-10 секунд с 5-10 запросами в секунду, которые происходят пару раз в минуту.

Поскольку я хранил эти запросы в базе данных, я вижу, что IP-адреса, создающие большинство запросов, являются очень конкретными IP-адресами AT&T, а затем Comcast, хотя они могут быть подделаны.

Что мне с этим делать? Игнорировать это, потому что я ничего не могу с этим поделать? Это не создает заметной нагрузки на сервер.

1

domain-name-system

Источник

Daniel F 06 сен '19 в 23:54

1 ответ

Решение

Другие вопросы по тегам domain-name-system

Patrick Mevzek 08 сен '19 в 09:23 2019-09-08 09:23 · Accepted Answer · 2019-09-08 09:23

Вы должны игнорировать их, пока они действительно не начнут нарушать работу вашего сервера / сети из-за их масштаба.

В противном случае вы могли бы установить фильтры на уровне IP для источников IP или конкретного DNS-запроса, который вы получаете, но это трудно сделать должным образом, оно хрупкое из-за способа построения пакетов DNS и может иметь побочные эффекты для невинных сторонних наблюдателей.,

Вместо этого посмотрите на функцию ограничения скорости (RRL), которая существует в нескольких серверах имен, например, bind.

Также обратите внимание, что ANY запросы теперь устарели. Посмотрите https://blog.cloudflare.com/deprecating-dns-any-meta-query-type/ для некоторого введения в эту тему, и https://blog.cloudflare.com/what-happened-next-the-deprecation-of-any/

Теперь стандартом IETF является RFC 8482 "Предоставление ответов минимального размера на запросы DNS, для которых QTYPE=ANY"

Аннотация
Система доменных имен (DNS) определяет тип запроса (QTYPE) "ЛЮБОЙ". Оператор авторитетного DNS-сервера может отказаться
отвечать на такие запросы по причинам местной политики, мотивированной
безопасность, производительность или другие причины.
Спецификация DNS не содержит конкретных указаний для
поведение DNS-серверов или клиентов в этой ситуации. Этот документ
стремится обеспечить такое руководство.
Этот документ обновляет RFC 1034 и 1035.