我最近发现我的服务器被用作 DNS DDOS 的一部分。基本上,我的 BIND 设置允许递归,它被用来通过 IP 欺骗攻击某个 IP 地址。
我采取了必要的措施来阻止这种情况,并禁用了递归。我不再是一个放大器,我想这解决了大问题,但我仍然在大量接收查询,而 BIND 对所有查询都回复“拒绝”。
我只是好奇我还能做些什么。我想我可以配置 fail2ban 来阻止它们,做类似的事情Debian 建议但根据其他网站和合理的逻辑,这并不理想,因为攻击者可以轻易地让我阻止任何 IP 访问我的服务器。
那么我还能做什么呢?还是我应该等着攻击者放弃?还是希望他们能重新扫描并将我从放大器名单中除名?
答案1
基本上,链接文章中描述的 fail2ban 设置会修改防火墙,以在有限的时间内丢弃来自不允许查询 DNS 服务器的源 IP 的传入 DNS 查询。这不是一个坏主意,但如果您没有为互联网提供一个或多个域的权威 DNS,那么为什么不忘记 fail2ban,而直接丢弃来自互联网的所有传入 DNS 查询呢?
如果你是运行权威 DNS 服务器,那么很遗憾,您没有忽略 DNS 查询的特权。在这种情况下,我认为您别无选择,只能保持原样(关闭递归),耐心等待传入的欺骗流量逐渐减少。如果能够配置 bind 自身以默默忽略配置为不回答的查询,那当然很好,但我认为它没有该功能。(毕竟,这种行为在技术上违反了 DNS 协议。)Fail2ban 确实提供了某种替代方案,但正如您所指出的,它并不理想。