如何在 Linux 机器上查找本地 DNS 攻击者?

如何在 Linux 机器上查找本地 DNS 攻击者?

在共享主机服务器 (centos8) 上托管了数千个网站。它们都使用作为本地递归解析器 (BIND 9) 运行的单个 DNS 服务。

我们观察到随机过载事件,但没有明确的罪魁祸首。

一个假设是某个网站(unix 用户)正在攻击本地 DNS 解析器。

在本地运行 bind 守护程序的上下文中,最好的方法是什么让它不仅记录 DNS 查询,还记录发送该查询的 unix 用户?这可能吗?

答案1

您可能想在递归框上运行 DNStop。它一眼就能识别出是否有客户滥用您的服务。这比观察日志更容易,尤其是在您处理大量流量的情况下。

您应该能够在 EPEL 存储库中找到 DNStop 并轻松安装。

关于这个好用的工具的更多信息可以在这里找到: http://dns.measurement-factory.com/tools/dnstop/

相关内容