Мой сервер DNS подвергается нападению? И что я должен делать с этим?
Я использовал бы pslist, указал бы pid, я интересовался, и grep для виртуальной памяти и рабочего набора. Я затем передал бы по каналу к выходному файлу и вывел бы его на печать с помощью чего-то как graphviz (или Excel, если Вы хотите его действительно быстрый и грязный). Это произошло бы в цикле.
Походит на много, но его только несколько минут размышления и сценариев.
C:\bin>pslist /? 1
pslist v1.28 - Sysinternals PsList
Copyright ⌐ 2000-2004 Mark Russinovich
Sysinternals
Usage: C:\bin\pslist.EXE [-d][-m][-x][-t][-s [n] [-r n] [\\computer [-u username][-p password][name|pid]
-d Show thread detail.
-m Show memory detail.
-x Show processes, memory information and threads.
-t Show process tree.
-s [n] Run in task-manager mode, for optional seconds specified.
Press Escape to abort.
-r n Task-manager mode refresh rate in seconds (default is 1).
\\computer Specifies remote computer.
-u Optional user name for remote login.
-p Optional password for remote login. If you don't present
on the command line pslist will prompt you for it if necessary.
name Show information about processes that begin with the name
specified.
-e Exact match the process name.
pid Show information about specified process.
All memory values are displayed in KB.
Abbreviation key:
Pri Priority
Thd Number of Threads
Hnd Number of Handles
VM Virtual Memory
WS Working Set
Priv Private Virtual Memory
Priv Pk Private Virtual Memory Peak
Faults Page Faults
NonP Non-Paged Pool
Page Paged Pool
Cswtch Context Switches`
Я не могу сказать Вам наверняка, каково это, но я могу сказать Вам, каково это не:
- Это не Kaminsky / приступ отравления кэшем.
- Нападения на Kaminsky требуют случайного "данного случая" на передней стороне запрошенного доменного имени
- Ваш сервер является авторитетным, не кэшируясь
- Это не достаточно высокий объем, чтобы быть отражательным нападением на сторонние IP-адреса
Если это имеет значение я думаю, что это - неверная конфигурация тех доменов, хотя отсюда они, кажется, в режиме офлайн. Я вижу некоторые несоответствия в записях связующего звена для burningpianos.com - .com серверы говорят, что они 209.97.196.66, и.67 - то, что Вы?
Вопреки предложению Brad я сказал бы это, если возможный необходимо на самом деле настроить сервер для возврата a REFUSED ответ на запросы для этих доменных имен.
Просто отбрасывание запросов означает, что клиенты в другой стороне продолжат повторять, как это, кажется уже, происходит.
Если трафик отбрасывает, когда Вы делаете это, он немедленно говорит Вам, что исходные адреса не имитируются, и это укрепило бы теорию, что это - неверная конфигурация.
Хорошо возможно, что Вы предназначаетесь для отравления кэшем Kaminsky. Эти запросы могли быть попытками видеть, восприимчив ли Ваш сервер DNS путем поиска монотонно увеличивающихся идентификаторов запроса в ответах сервера DNS. Но очевидно Ваш сервер DNS не является общедоступным кэширующимся рекурсивным сервером имен, поскольку все просьбы отклонены, но такой дверной стук неизбежен с деточками сценария, которых я предполагаю. Пока Ваш сервер имен не служит общедоступному кэширующемуся рекурсивному DNS нет ничего для волнения о, даже если у Вас была старая версия, восприимчивая к нападению на Kaminsky.
Другие возможности включают, странная неверная конфигурация со стороны burningpianos.com или некоторого предпринятого отражательного нападения. Оба из которых являются раздражающими, но не вредными, пока Вы не тратите впустую Ваш (или невинный человек в случае отражательного нападения) пропускная способность путем передачи обратно отклоненный в ответах. Я принял бы, так как запросу отказали, он просто отбросил запрос без ответа, но я не связывать эксперт, таким образом, я не уверен.
-
1положительная сторона, burningpianos могла ссылаться на Ваши серверы DNS как на их серверы DNS, которые создадут много поисков. – cpbills 13 May 2010 в 09:25
-
2определенно не нападение на Kaminsky - который требует, чтобы случайные данные были снабжены префиксом к передней стороне каждого запроса. – Alnitak 13 May 2010 в 14:09
удостовериться allow-query в Вашем связывать конфигурацию только позволяет диапазоны IP, которым Вы надеетесь служить своей информации DNS.
иначе начните блокировать дюйм/с, которые запрашивают, поскольку на своего рода спам/обратное рассеяние особенно походит, если каждый IP выполняет много повторных запросов.
Похоже, что это может быть нападение DNS на Ваш сервер или попытка присоединить адреса, которые Вы видите. Легко подделать udp адрес запроса, приводящего к шторму к целевому серверу. Вход запросов может помочь затопить Ваш сервер DNS, но полезен для наблюдения этого вида действия.
Вы, вероятно, захотите к позволять-запросу всем. Если Вы блокируете кого-либо затем, что они не смогут искать Ваши серверы. Также проверьте, что все Ваши серверы имен подают хорошие данные. dnscog.com может проверить Ваши серверы с внешней стороны для Вас.
Удостоверьтесь, что Вы блокируете рекурсию и запросы от кэша для внешних адресов.
В отношении некоторых серверов, не имеющих Ваше разрешение DNS в кэше.. проверьте TTL своих записей DNS. Это - Время жизни, и, если установлено на небольшое число приведет к серверам, не кэширующим Ваши записи очень долго.
Это не было должно, хотя препятствуют тому, чтобы они разрешили Вас, хотя, поскольку они должны просто поразить корневой сервер и искать Ваши серверы DNS и прибыть, получают авторитетный ответ.
T
Просто прохожу, но в этом конкретном случае я обнаружил, что директива allow-query-cache - это та директива, которую нужно установить, чтобы избежать этого сообщения. Добавьте в файл /etc/bind/ named.conf.options следующее:
// only localhot can query cached recursive dns entries
allow-query-cache { 127.0.0.1 };
REFUSED- однако не уверенный, почему затем you' ре, повторяемое запросы. – Alnitak 13 May 2010 в 23:38