我们有一台装有 centos7 的专用服务器。过去 3 天,我们不断收到滥用报告,称“我们检测到以下具有 DNS 相关模式的 DoS 攻击”。攻击源是我们的服务器。我们如何解决此问题。
提前致谢。
答案1
听起来您正在运行一个可用于 DNS 放大攻击的 DNS 服务器。由于您声明该服务器基于 CentOS,请检查 named/bind 是否处于活动状态并正在运行。如果 bind 未处于活动状态,请使用 ss 或 netstat 找出-tulpen哪个程序使用了端口 53。
当 bind 运行时,使用 bind 的 ACL 机制来限制对 DNS 服务器的访问。如果您的 DNS 是权威的,请考虑使用 iptables 速率限制或 fail2ban。处理 bind 时,我强烈推荐 bind 管理员参考手册。