我在 udp 端口 53 上整天都收到大量流量
使用“tcpdump -n -i eth0 udp port 53”的 tcpdump 示例输出
14:29:48.734275 IP 212.174.17.28.53 > 23.92.19.211.443: 1 ServFail 0/0/0 (26)
14:29:48.734411 IP 181.205.60.90.53 > 23.92.19.211.443: 1 ServFail 0/0/0 (26)
14:29:48.736001 IP 91.227.157.215.53 > 23.92.19.211.443: 1 ServFail 0/0/0 (26)
14:29:48.747291 IP 81.166.123.10.53 > 23.92.19.211.443: 1 ServFail 0/0/0 (26)
14:29:48.747717 IP 5.21.69.18.53 > 23.92.19.211.443: 1 ServFail 0/0/0 (26)
14:29:48.748619 IP 181.129.19.2.53 > 23.92.19.211.443: 1 ServFail 0/0/0 (26)
14:29:48.754033 IP 190.217.63.35.53 > 23.92.19.211.443: 1 34/4/0 RRSIG, Type51, Type51, Type51, RRSIG, RRSIG, DNSKEY, MX ferc-gov.mail.protection.outlook.com. 0, RRSIG[|domain]
14:29:48.757301 IP 102.36.152.84.53 > 23.92.19.211.443: 1| 17/0/0 RRSIG, RRSIG, RRSIG, Type51, A 52.247.175.68, RRSIG, RRSIG[|domain]
14:29:48.758980 IP 185.5.181.37.53 > 23.92.19.211.443: 1 7/4/8 NS ns2.glb.ferc.gov., DS, NS ns1.glb.ferc.gov., DS, NS ns3.glb.ferc.gov., RRSIG, NS ns4.glb.ferc.gov. (565)
14:29:48.765462 IP 46.0.203.44.53 > 23.92.19.211.443: 1 4/4/0 NS ns4.glb.ferc.gov., NS ns1.glb.ferc.gov., NS ns2.glb.ferc.gov., NS ns3.glb.ferc.gov. (158)
14:29:48.778194 IP 89.169.30.191.53 > 23.92.19.211.443: 1 ServFail 0/0/0 (26)
这种情况还在继续,有超过 20K 个 IP 一直在攻击我的服务器。
我无法阻止这次攻击。我已使用 iptables 封锁了 udp 端口 53
iptables -A INPUT -p udp --dport 53 -j DROP
但这不起作用。这次攻击耗尽了我的带宽,我不知道该怎么办。任何帮助都感激不尽!谢谢!
答案1
经过进一步检查,发现实际上洪水是 443,而不是 53。53 是源端口,意义不大。不过,我修改了我的建议,以屏蔽源端口。
这只会阻止流量进入您的系统。您必须让您的 ISP 减轻实际攻击。
iptables -I INPUT 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT 2 -m udp -p udp --sport 53 -j DROP
iptables -I INPUT 3 -m tcp -p tcp --sport 53 -j DROP
两者都可能是必要的。
您需要首先允许有效的流量,而且 iptables 具有连续的操作顺序。
INPUT -A
将规则附加到列表的底部,因此您的规则很可能被另一个规则取代。
附加:
iptables -I 输入 4 -m tcp -p tcp --dport 443 -j DROP。
我忘记了 -m tcp 和 -m udp,所以我修改了这篇帖子。
答案2
在你的服务器上,你无法阻止收到不需要的数据包。你的服务器不会“拉”数据包进来,它们会不请自来。你只能让服务器忽略它们(就像您对 iptables 所做的那样),但您无法阻止它们首先到达服务器的网络端口。
向你的 ISP 或托管公司寻求帮助 –他们可以在数据包到达您的系统之前在其网络内应用过滤(较大的系统甚至有专门用于处理数据包洪水的专用基础设施),并且/或者他们还可以将您的服务器移动到不接收这些数据包的其他 IP 地址。