Domain-Name-System

使用 bind9 拒絕外部域請求

  • September 18, 2019

我有 2 台 bind9 伺服器調整為僅授權 DNS 伺服器。我注意到 dnstop 顯示了很多對外國financialresearch.gov域的請求(不是我的)。每分鐘有超過 50k 個請求。我不明白是誰以及為什麼向我發送請求以及如何阻止它們?

綁定named.conf.options配置:

options {
   directory "/var/cache/bind";

   dnssec-validation auto;

   listen-on-v6 {
       any;
   };

   allow-query {
       any;
   };

   recursion no;

   allow-transfer {
       200.200.200.200;
   };
};
Query Name                Count      %   cum%
--------------------- --------- ------ ------
financialresearch.gov      3442   99.7   99.7
digitalocean.com              2    0.1   99.9

探勘結果:

; <<>> DiG 9.10.6 <<>> @[my-ns-server] financialresearch.gov
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 1034
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;financialresearch.gov.     IN  A

;; Query time: 67 msec
;; SERVER: [my ns server ip]
;; WHEN: Sun Sep 08 00:50:30 +04 2019
;; MSG SIZE  rcvd: 50

我不明白是誰以及為什麼向我發送請求以及如何阻止它們?

您的日誌文件應該能夠告訴您是誰發送了此請求,但請注意,您很可能只會看到某些遞歸 DNS 伺服器的 IP 地址,而不是原始客戶端。

至於為什麼,要麼有人只是隨機戳你的網站,要麼有一個瘋狂的腳本並在循環中嘗試相同的錯位查詢。或者您的名稱伺服器使用的 IP 可能以前由該域的名稱伺服器權威機構使用,並且某些記憶體沒有自行更新。

由於您的名稱伺服器已經為他們回复REFUSED,您無需再做任何事情。

除非您認為此流量出於任何原因開始損害您的伺服器/網路,在這種情況下,您可能希望:

  • 嘗試聯繫向您查詢此 IP 地址的所有者
  • 更積極地在 IP 級別過濾此特定地址或此特定 DNS 查詢;然而,這通常比任何事情都造成更大的傷害,因此 DNS 級別的速率限制可能會更好,請參閱綁定中的 RRL 功能。

引用自:https://serverfault.com/questions/982348