我遇到了一个困扰我好几次的问题。希望有人能帮助我了解发生了什么或指出正确的方向。
我的一台服务器(CentOS 6.x)开始向我们的 DNS 提供商发送大量 DNS 请求,导致 DoS 警报。
根据 DNS 提供商的说法,每 5 分钟发送了 239000 个查询。
日志样本(CentOS为2xx.2xx.2xx.2xx ,DNS为1xx.1xx.1xx.1xx):
2013 年 10 月 29 日 21:24:08.444 查询:客户端 2xx.2xx.2xx.2xx#38597:查看内部:查询:boot.servequake.com IN A +(1xx.1xx.1xx.1xx)
2013 年 10 月 29 日 21:24:08.445 查询:客户端 2xx.2xx.2xx.2xx#60776:查看内部:查询:boot.servequake.com IN A +(1xx.1xx.1xx.1xx)
2013 年 10 月 29 日 21:24:08.446 查询:客户端 2xx.2xx.2xx.2xx#46437:查看内部:查询:boot.servequake.com IN A +(1xx.1xx.1xx.1xx)
在我的服务器上采取的措施:使用 IPtables 记录并阻止对 DNS 服务器的所有请求,将“0.0.0.0 boot.servequake.com”添加到主机,目前它每 5 分钟生成 1375 个条目。在服务器中找不到任何漏洞证据。
此 CentOS 服务器正在运行多个应用程序,并具有公共 IP。起初,原因可能是应用程序出现故障,或者有人故意将我的服务器用作“僵尸”服务器进行 DoS 攻击。我简单地搜索了“boot.servequake.com”(以了解为什么请求此地址解析),结果在我们最喜欢的搜索引擎中得到的结果非常少,而且毫无用处。还测试了 boot.servequake.com 的 ping 和 traceroute,结果解析为 0.0.0.0,没有跳数。这种情况发生在所有 CentOS 服务器、CentOS VM、Ubuntu 工作站中,但不会发生在受影响的服务器中。
问题:
- “boot.servequake.com” 是否是此 Linux 发行版中包含的某种 0.0.0.0 别名?
- 如果是,为什么我在网上找不到有关它的任何信息?
- 我在哪里可以找到这个配置?(它不在 hosts 文件中)
- 为什么所有测试过的 Linux 机器都使用 .servequake.com(no-ip.com 的属性)?
提前致谢
编辑:将“localhost”更正为“0.0.0.0”
答案1
哦天哪。今天真是糟糕的一天? ;)
1:显然不是。说真的。它们听起来一模一样吗?
2:我可以。www.servequake.com 重定向至http://freedns.no-ip.com/- 为使用动态 IP 的用户提供免费的 DNS 服务。我想说他们的一个客户注册了“boot”这个名称。而且他们可能不会公开使用这个名称(可能只是朋友之间的某个 Quake 服务器),所以你不会在互联网上到处提到它。
3:这不是您的配置,所以您根本找不到它。您不能直接访问 no-ip 内部配置数据库。
4:因为攻击就是从这里发起或去往这里。
我不太确定,但在我看来,你正在为 DNS 放大攻击做中继 - 目标是 boot.servequake.com 或你的 DNS 提供商(或你),但要了解更多信息,你必须告诉我们网络流量到底是什么。通常不是请求,而是答案。请求的数量也表明某个地方存在缓存问题,但这可能是由 no-ip(旨在在动态 ip 更改时快速更新)引起的。