由于 IP 地址是公开的,我们在公共网络上拥有多台虚拟机。我们今天收到了以下电子邮件:
我们收到了针对 xxx.xxx.xxx.xxx 的以下投诉。请调查、采取任何必要措施,并在 24 小时内回复此电子邮件并提供完整的解决方案详细信息,以避免因违反 TOS 而暂停和/或终止服务。为了确保收到所有通信,请不要打开支持票。只需回复此电子邮件,我们就会回复您。仅在您需要技术人员暂停服务器时才打开支持票。
|----------------------------------------------------------------| | 下面是我们收到的一个投诉示例:| |----------------------------------------------------------------|
主题:用于攻击的开放递归解析器:xxx.xxx.xxx.xxx 正文:您似乎正在 IP 地址 xxx.xxx.xxx.xxx 上运行开放递归解析器,该解析器参与了对我们客户的攻击,对欺骗查询生成了大量 UDP 响应,这些响应由于其大小而变得碎片化。
请考虑采用以下一种或多种方式重新配置您的解析器:
- 仅为您的客户提供服务而不响应外部 IP 地址(在 BIND 中,这是通过在“允许查询”中定义一组有限的主机来实现的;使用 Windows DNS 服务器,您需要使用防火墙规则来阻止对 UDP 端口 53 的外部访问)
- 仅为其具有权威性的域提供服务(在 BIND 中,这是通过在“allow-query”中为整个服务器定义一组有限的主机来实现的,但将每个区域的“allow-query”设置为“any”)
- 对单个源 IP 地址的响应进行速率限制(例如使用 DNS 响应速率限制或 iptables 规则)
有关此类攻击的更多信息以及各方可以采取哪些措施来缓解攻击,请参见此处: http://www.us-cert.gov/ncas/alerts/TA13-088A
如果您是 ISP,还请查看您的网络配置,确保您不允许欺骗流量(假装来自外部 IP 地址)离开网络。允许欺骗流量的主机使此类攻击成为可能。
下面给出了此次攻击期间您的解析器的示例 DNS 响应。=20 日期/时间戳(最左边)是 UTC。
... 删除以隐藏 IP 地址
(我们客户 IP 地址的最后一个八位字节在上面的输出中被屏蔽了,因为当包含多个 IP 地址时,一些自动解析器会感到困惑。该八位字节的值为“185”。)
我点击了以下链接:
https://www.us-cert.gov/ncas/alerts/TA13-088A
根据它告诉我的信息,一些邪恶之徒正在使用我们的服务器发起拒绝服务攻击,至少这是我从链接中了解到的信息。
它建议我们做出以下改变:
我的问题是,这是否会导致网络上的其他虚拟机出现问题?这是否可以解决问题?进行此更改会有什么后果吗?
有没有什么处理这个问题的建议?我们有 3 个域控制器,可能需要进行调整以防止这种情况发生。
先谢谢了!
编辑#1
如果我们设置防火墙规则,只包含端口 52 上的 IP 地址,这能解决我们的问题吗?只是一个想法。
答案1
您应该在任何面向 Internet 的 DNS 服务器上禁用递归查询。允许传入 Internet 访问您的域控制器可能不是一个好主意。阻止递归将破坏任何使用您的域控制器作为其 DNS 服务器的主机的 DNS。在这种情况下,配置仅允许在端口 53 上进行传出访问(和回复)的防火墙规则是合适的。
如果您要将域上的地址发布到 Internet,则应由单独的 DNS 服务器完成此操作。通常使用您的域名注册商来实现此目的。
一些 DNS 软件能够以裂脑模式运行,即它们为互联网提供一组有限的服务,并对本地网络提供完全递归访问。我不知道你的情况是否可行。