我管理的其中一台路由器正受到来自互联网的外部 DNS 查询的轰炸。这是一台配置了 DNS 服务器的网络边界路由器。有一个面向互联网的接口正在接收所有这些 DNS 查询。
我创建了以下 ACL,仅允许来自互联网的已知流量通过路由器。
interface GigabitEthernet0/0/0.1001
description external internet
encapsulation dot1Q 1001
ip address XX.XX.XX.XX XX.XX.XX.XX
ip nat outside
ip access-group WAN_IN in
==============================================
ip access-list extended WAN_IN
remark --- PERMIT_BUSINESS_TRAFFIC
permit tcp any any established
remark --- PERMIT_CORESCAN_VOCUS_PUBLIC_IP
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
remark --- PERMIT_CORESCAN_IINET_PUBLIC_IP
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
remark --- PERMIT_DNS_QUERIES
permit udp any eq domain any gt 1023
remark --- PERMIT_AWS_VPN_TUN1
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
remark --- PERMIT_AWS_VPN_TUN2
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
remark --- DENY_ALL
deny ip any any
我可以看到 ACL 正在运行(我可以看到来自 ACL 的所有命中),因为它阻止了一些 DNS 查询,但是有一些 DNS 查询,特别是来自这个域(PEACECORPS.GOV)的查询,不知何故它总是设法通过 ACL。
我查看查询的方式是从路由器捕获流量并使用 wireshark 对其进行分析。
在分析流量时,我发现查询到达路由器,但路由器没有回答查询,这很好,但我的问题是,有什么方法可以阻止查询到达路由器吗?我以为一个简单的 ACL 就可以完成这项工作,但事实并非如此。
以下是收入请求的数据包捕获
192.223.30.89 XXX.XXX.XXX.XXX DNS 89 Standard query 0x2fc9 ANY PEACECORPS.GOV OPT
192.223.30.89 XXX.XXX.XXX.XXX DNS 89 Standard query 0x2fc9 ANY PEACECORPS.GOV OPT
192.223.30.89 XXX.XXX.XXX.XXX DNS 89 Standard query 0x2fc9 ANY PEACECORPS.GOV OPT
192.223.30.89 XXX.XXX.XXX.XXX DNS 89 Standard query 0x2fc9 ANY PEACECORPS.GOV OPT
201.105.153.70 XXX.XXX.XXX.XXX DNS 83 Standard query 0x2281 ANY aids.gov OPT
下面是传出的数据包捕获
213.139.53.28 XXX.XXX.XXX.XXX DNS 85 Standard query 0xd224 ANY paypal.com OPT
73.78.192.30 XXX.XXX.XXX.XXX DNS 82 Standard query 0x3b63 ANY doc.gov OPT
202.179.0.18 XXX.XXX.XXX.XXX DNS 89 Standard query 0x6ffd ANY PEACECORPS.GOV
OPT
76.184.25.55 XXX.XXX.XXX.XXX DNS 89 Standard query 0x2953 ANY PEACECORPS.GOV OPT
XXX.XXX.XXX.XXX 代表我的公网 IP 作为目的地。
谢谢您的帮助。