我刚刚收到我的网站互联网提供商发来的一封电子邮件,说我的服务器“在过去几周内作为开放解析器参与了 DDoS 攻击(DNS 反射)”。
以下是完整电子邮件:
主题:DNS 放大攻击 尊敬的先生或女士,
我们收到了垃圾邮件/滥用通知。请采取必要措施,防止此类事件再次发生。
此外,我们要求您在 24 小时内向我们和提交此投诉的人提供一份简短声明。该声明应包括事件发生前的情况以及您为处理该事件所采取的步骤的详细信息。
下一步: - 解决问题 - 向我们发送您的声明 - 通过电子邮件向投诉人发送您的声明
然后,同事将检查详细信息,并协调进一步的程序。如果出现多起投诉,这可能会导致服务器被锁定。-----附件-----
亲爱的先生或女士,
我们获悉,过去几周内,您网络范围内的 IP 地址作为开放解析器参与了 DDoS 攻击(DNS 反射)。
请参阅此消息的附件,了解您的网络范围内的开放 DNS 服务器的 IP 地址。
- - - 日志档案 - - -
受影响的 IP:176.9.1.67
谢谢你,
我该怎么做才能确认这一点并确定这次攻击的来源?
感谢 Eco
答案1
您无法识别攻击的来源——您的 DNS 服务器接收的数据包来自伪造的源地址。
基本上,攻击者会向您的 DNS 服务器发送带有伪造源地址的数据包。他们会向 DNS 服务器询问问题,从而导致其发送大量响应。要将您的 DNS 服务器用作攻击工具,攻击者会伪造他们想要用垃圾流量淹没的主机的源地址,并指示大量 DNS 服务器(就像您的 DNS 服务器一样)用虚假响应轰炸该主机。您的 DNS 服务器本身并没有受到损害或做错任何事情,但您不应允许您的 DNS 服务器向 Internet 发送这些对任意问题的大量响应。
基本上,您需要重新配置 DNS 服务器,使其不向 Internet 提供递归解析服务。您的 DNS 服务器应仅响应其拥有权限的域的请求。