目前我运行一个 DNS 服务器 (bind9),用于处理来自互联网上的客户端的查询,最近我注意到来自不同地址的数百个查询,如下所示(服务器 IP 已删除)
client 216.59.33.210#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 216.59.33.204#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 184.107.255.202#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 205.204.65.83#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 69.162.110.106#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 216.59.33.210#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 69.162.110.106#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 216.59.33.204#53: query: ripe.net IN ANY +ED (0.0.0.0)
client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0)
有人可以解释一下为什么有这么多客户端查询 ripe.net 吗?
答案1
当 DNS 服务器像这样公开配置时,其他人会滥用它进行 DNS 放大攻击。攻击者伪造 DDOS 目标的 IP 地址,并向像您这样的服务器发送大量小查询(通常为 ANY 类型)。
使用 ripe.net ANY 是因为它会返回一个很大的答案,因此会放大攻击者针对目标的欺骗查询的大小。
答案2
看起来您想要的是禁用递归或允许递归到特定的 IP 地址(例如本地主机):
http://www.zytrax.com/books/dns/ch7/queries.html#allow-recursion
默认是允许任何人。