运行 RHEL 6.6 的 DNS 服务器正在主动向几个 IP 发送未经请求的 DNS 响应。未经请求的意思是没有来自外部 IP 的传入请求,DNS 服务器似乎出于某种原因想要与这个外部主机对话,但我不知道为什么。Netstat 显示与命名进程绑定的出站连接。tcpdump 确认这些大多是出站的。它们看起来像这样:(末尾的主机名是实际 tcpdump 中的内容)
104115 5.888666 <DNS server source IP> <dest IP> DNS 80 Standard query 0xfc38 A chhveu.x99moyu.net
还有很多这样的事:这是另一个例子:
104012 5.8884459 <DNS server source IP> <dest IP> DNS 106 Standard query 0x688b MX 3636.3335.3338.3737.80h423333324d.host.com
再次,有很多这样的事。
我已经能够使用 iptables 来控制这种情况。但是数据包计数器正在快速增加,所以我知道命名服务仍然想要与此 IP 通信。我注意到的另一件奇怪的事情是在设置 iptables 规则之后。我首先使用 INPUT 链阻止了 IP,然后继续看到流量。然后我将 IP 添加到 OUTPUT 链,传入请求似乎立即枯竭,而传出请求则不断增加。所以我担心传入请求实际上是由传出请求产生的。以下是 iptables 中的数据包计数器:
输入链:
4 292 DROP all -- any any X.X.X.X/24 anywhere
输出链:
41174 4514K DROP all -- any any anywhere x.x.x.x/24
这个系统是否会受到损害?如果是,我能做些什么来补救?