У меня есть vps, и на нем есть несколько сайтов, обычно эти сайты редко посещаются, кроме меня, поэтому я шокирован тем фактом, что я захожу на портал vps-провайдера и обнаруживаю, что использовал огромное количество пропускной способности, которую никогда бы не использовал такой маленький сайт.
поэтому я запускаю ntop и сбрасываю всю статистику, затем обновляю веб-портал ntop через порт 3000 и обнаруживаю, что диаграмма действительно шокирует, что трафик DNS занимает почти 99 процентов всего трафика, а трафик DNS составляет почти 100 МБ за несколько минут, Вы могли видеть этот факт на картинке, которую я загрузил
Мой вопрос таков: 1. Почему на моем VPS такой большой трафик DNS? 2.Кто-то взломал мой VPS, если мой VPS настроен как ядро трафика DNS?
Edit 1 @ RSchulze, почему вы сказали, что причина в неправильной настройке программного обеспечения DNS, такого как named? какая неправильная конфигурация может привести к такому огромному трафику DNS? кстати, я не настраиваю named вручную, я настраиваю его с помощью kloxo, которое является программным обеспечением для управления хостом, и его автору удалось успешно взломать kloxo :( Я все еще думаю, что мой сервер может быть взломан :( возможно, мне следует изучить wirehark и захватить некоторые пакеты, чтобы узнать происхождение и цель этого DNS-трафика
Edit 2 После того, как я убью указанный процесс, теперь DNS-трафик редко бывает :), но почему все еще есть некоторые DNS-запросы трафик, но все они являются принятым трафиком, а не отправляемым трафиком :) Означает ли это, что мой VPS отправляет некоторый DNS-запрос на другие хосты?
Атака ретранслятора DNS в процессе, я уверен.
Проверить:
http://slashdot.org/story/06/03/16/1658209/ddos-attacks-via -dns-recursion
для подробностей и примера, или
http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack (который имеет хороший пример чтобы показать вам, что происходит).
Обычно ваш DNS-сервер получает запросы с поддельного IP-адреса и отправляет туда большие ответы. Цель состоит в том, чтобы перекрыть цель. Неверно настроенный DNS-сервер в источнике.
Другой, менее вероятный вектор атаки - это кража данных через DNS. Это работает путем запроса определенного домена [принадлежащего злоумышленнику], где злоумышленник может формировать ответы в зависимости от запрашиваемого хоста. Данные могут быть извлечены в полезной нагрузке DNS-запроса, а информация C&C может быть возвращена в ответе.
Как я уже сказал, это менее вероятный вектор атаки, но это отличный способ получить данные из среды, которая не t разрешает исходящий HTTP (S), но разрешает DNS.
Удачи в поиске ответа ...