私はEC2でDNSサーバーを実行しており、昨日、請求ダッシュボードをチェックして、今月1.86 TBの使用済みデータを見つけたときに、約20 Mbpsをプッシュしていました。それは私の小さなプロジェクトラボにとって大きな法案です。パフォーマンスの低下に気づいたことはなく、以前にトラフィックのしきい値を設定することもありませんでしたが、今では帯域幅料金が200ドル以上かかっています。
誰かが私のDNSサーバーを増幅攻撃の一部として使用したように見えますが、その方法に迷っています。
構成は次のとおりです。
// BBB.BBB.BBB.BBB = ns2.mydomain.com ip address
options {
listen-on port 53 { any; };
// listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-transfer { BBB.BBB.BBB.BBB; };
allow-query-cache { BBB.BBB.BBB.BBB; };
allow-query { any; };
allow-recursion { none; };
empty-zones-enable no;
forwarders { 8.8.8.8; 8.8.4.4; };
fetch-glue no;
recursion no;
dnssec-enable yes;
dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "mydomain.com" IN {
type master;
file "zones/mydomain.com";
allow-transfer { BBB.BBB.BBB.BBB; localhost; };
};
この構成を考えると、ローカルでホストしていないゾーンのクエリに応答するべきではありませんか?このサーバーはいくつかのドメインのSOAですが、他のサーバーによる検索には使用されません(誰もがOpenDNSまたはGoogleに対して解決します)。ここでどのディレクティブが間違っているのですか、それとも忘れていますか?私のログ(63MB +)はこれでいっぱいです:
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
9
これは、あなたの質問に答えていませんが、アラート課金設定する必要がありdocs.aws.amazon.com/awsaccountbilling/latest/aboutv2/...を
—
ティム・
RFC 7873がサポートされていないすべてのクライアントに対して、TCPへのフォールバックを強制することは受け入れられますか?
—
カスペルド16
BINDのレート制限
—
ルイFリベイロ
@RuiFRibeiro権限のあるDNSサーバーのレート制限が役立つ場合があります。ただし、レート制限自体が弱点となり、DoS攻撃で悪用される可能性があります。攻撃者がレート制限付きの権限のあるサーバーでホストされているドメインのクエリで再帰をあふれさせると、その再帰の正当なユーザーは攻撃中のドメインのレコードを解決できなくなる可能性があります。この攻撃は、広く展開されていないNSEC / NSEC3を積極的に使用することで軽減できます。
—
カスペルド16