在共享主机服务器 (centos8) 上托管了数千个网站。它们都使用作为本地递归解析器 (BIND 9) 运行的单个 DNS 服务。
我们观察到随机过载事件,但没有明确的罪魁祸首。
一个假设是某个网站(unix 用户)正在攻击本地 DNS 解析器。
在本地运行 bind 守护程序的上下文中,最好的方法是什么让它不仅记录 DNS 查询,还记录发送该查询的 unix 用户?这可能吗?
答案1
您可能想在递归框上运行 DNStop。它一眼就能识别出是否有客户滥用您的服务。这比观察日志更容易,尤其是在您处理大量流量的情况下。
您应该能够在 EPEL 存储库中找到 DNStop 并轻松安装。
关于这个好用的工具的更多信息可以在这里找到: http://dns.measurement-factory.com/tools/dnstop/