Bind
應對 DNS 放大攻擊的措施
我最近發現我的伺服器被用作 DNS DDOS 的一部分。基本上,我的 BIND 設置允許遞歸,它用於使用 IP 欺騙攻擊某個 IP 地址。
我採取了必要的措施來阻止這種情況,並禁用了遞歸。我不再是放大器,我想這解決了大問題,但我仍然收到大量查詢,BIND 對所有這些都回复“拒絕”。
我只是想知道我還能做些什麼。我想我可能會配置 fail2ban 來阻止它們,做一些類似於Debian 建議的事情,但根據其他網站和合理的邏輯,這並不理想,因為攻擊者可以很容易地讓我阻止任何 IP 訪問我的伺服器。
那麼還能做什麼呢?還是我應該等待攻擊者放棄?還是希望他們會重新掃描並將我作為放大器除名?
基本上,連結文章中描述的 fail2ban 設置將防火牆修改為 DROP(在有限時間內)來自不允許查詢您的 DNS 伺服器的源 IP 的傳入 DNS 查詢。不錯的主意,但如果您沒有為 Internet 的一個或多個域提供權威 DNS,那麼為什麼不忘記 fail2ban,乾脆 DROP 所有來自 Internet 的傳入 DNS 查詢?
如果您正在執行一個權威的 DNS 伺服器,那麼不幸的是,您無法忽略 DNS 查詢。在這種情況下,我認為您別無選擇,只能保持原樣(遞歸關閉),並耐心等待傳入的欺騙流量逐漸下降。能夠將綁定本身配置為靜默忽略配置為不回答的查詢肯定會很好,但我不認為它具有該功能。(畢竟,這種行為在技術上會違反 DNS 協議。)Fail2ban 確實提供了一些替代方案,但正如您所指出的,它並不理想。