在使用 Bind DNS 服务器时,这些服务器不是开放解析器,也不执行递归查询,我看到大量传入的 DNS 查询请求被拒绝或拒绝,这些请求集中于将 DNS 服务器列为查询域的权威服务器,但不再为域配置任何区域的域名。这些域归属于已移动其域的第三方,并且多年后从未在其注册商处更新列出的 DNS 服务器。为什么这些明显的 DDoS UDP 攻击集中于未配置的域或区域?我没有测量网络流量以查看是否发生了某种类型的放大,但确实集中于未配置的区域。
答案1
我们从获得以前用于 DNS 服务器的 IP 空间的用户那里看到过类似的问题。可以说,您甚至不必在端口 53 上进行侦听,如果您的 IP 过去曾拥有 DNS 侦听器(权威或递归),您将看到对您的 IP 不具有权威性的域的过时查询。
只需忽略陈旧的流量。如果您需要确保您没有被成功利用于攻击,请查看发送与接收流量的比率。如果您的平均出站流量是输入流量的两倍以上,则可能发生了某些事情。