Domain-Name-System
使用 bind9 拒絕外部域請求
我有 2 台 bind9 伺服器調整為僅授權 DNS 伺服器。我注意到 dnstop 顯示了很多對外國
financialresearch.gov
域的請求(不是我的)。每分鐘有超過 50k 個請求。我不明白是誰以及為什麼向我發送請求以及如何阻止它們?綁定
named.conf.options
配置:options { directory "/var/cache/bind"; dnssec-validation auto; listen-on-v6 { any; }; allow-query { any; }; recursion no; allow-transfer { 200.200.200.200; }; };
Query Name Count % cum% --------------------- --------- ------ ------ financialresearch.gov 3442 99.7 99.7 digitalocean.com 2 0.1 99.9
探勘結果:
; <<>> DiG 9.10.6 <<>> @[my-ns-server] financialresearch.gov ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 1034 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;financialresearch.gov. IN A ;; Query time: 67 msec ;; SERVER: [my ns server ip] ;; WHEN: Sun Sep 08 00:50:30 +04 2019 ;; MSG SIZE rcvd: 50
我不明白是誰以及為什麼向我發送請求以及如何阻止它們?
您的日誌文件應該能夠告訴您是誰發送了此請求,但請注意,您很可能只會看到某些遞歸 DNS 伺服器的 IP 地址,而不是原始客戶端。
至於為什麼,要麼有人只是隨機戳你的網站,要麼有一個瘋狂的腳本並在循環中嘗試相同的錯位查詢。或者您的名稱伺服器使用的 IP 可能以前由該域的名稱伺服器權威機構使用,並且某些記憶體沒有自行更新。
由於您的名稱伺服器已經為他們回复
REFUSED
,您無需再做任何事情。除非您認為此流量出於任何原因開始損害您的伺服器/網路,在這種情況下,您可能希望:
- 嘗試聯繫向您查詢此 IP 地址的所有者
- 更積極地在 IP 級別過濾此特定地址或此特定 DNS 查詢;然而,這通常比任何事情都造成更大的傷害,因此 DNS 級別的速率限制可能會更好,請參閱綁定中的 RRL 功能。