我有一个自定义 DNS 服务器,我注意到日志中充满了ANY针对.(单点)域的查询,而不是针对www.example.com.它可以处理的其他域的查询。它不是递归的,只处理主域的非常具体的子域,这些子域由商业 DNS 托管提供商管理。
我不会回复任何针对非我域名的查询,因为我想避免被滥用于 DNS 放大攻击。如果这样做不好,请纠正我。在此之前,我使用dnslib.RCODE.REFUSED(code 5) 响应代码进行回复。
所以我不太确定这些是某种攻击还是正常现象。这些攻击持续约 5-10 秒,每秒约有 5-10 次查询,每分钟发生几次。
由于我将这些查询存储在数据库中,我发现创建最多查询的 IP 都是来自 AT&T、然后是 Comcast 的非常具体的 IP,尽管它们可能是伪造的。
我该怎么办?忽略它,因为我对此无能为力?它不会给服务器带来任何明显的负载。
答案1
您应该忽略它们,直到它们真正因其规模而开始破坏您的服务器/网络。
否则,您可以在 IP 级别为 IP 源或您获得的特定 DNS 查询设置过滤器,但这很难正确执行,由于 DNS 数据包的构建方式,它很脆弱,并且可能会对无辜的旁观者产生副作用。
因此,请查看多个名称服务器中存在的速率限制(RRL)功能,例如 bind。
另请注意,ANY查询现已过时。看看https://blog.cloudflare.com/deprecating-dns-any-meta-query-type/有关该主题的一些介绍,以及https://blog.cloudflare.com/what-happened-next-the-deprecation-of-any/
IETF 标准现在RFC 8482“为 QTYPE=ANY 的 DNS 查询提供最小大小的响应”
抽象的
域名系统 (DNS) 指定查询类型 (QTYPE)“ANY”。权威 DNS 服务器的运营商可能会
出于本地政策、
安全、性能或其他原因选择不响应此类查询。DNS 规范并未包含
针对此情况下 DNS 服务器或客户端行为的具体指导。本文档
旨在提供此类指导。本文档更新了 RFC 1034 和 1035。