Estoy usando BIND como mi servidor DNS. He desactivado la solicitud DNS recursiva. Ahora estoy bajo algún tipo de ataque. ¿Hay alguna manera de bloquear esto o tengo que dejarlo pasar?
Mi registro de consultas:
client 75.214.6.32#39884: query: elipylavofkb.www.florasky.cn IN A + (MY SERVER IP)
client 19.61.194.206#59208: query: mzynovatmhapahen.www.ludashi789.com IN A + (MY SERVER IP)
client 108.8.241.1#50963: query: mdelolwtspupyzmz.www.ludashi789.com IN A + (MY SERVER IP)
client 112.224.24.10#63434: query: wdybkhodehov.www.florasky.cn IN A + (MY SERVER IP)
client 76.160.109.141#1231: query: gxefmpidgjur.www.florasky.cn IN A + (MY SERVER IP)
client 16.18.114.118#37018: query: engjcvwjsdgz.www.florasky.cn IN A + (MY SERVER IP)
client 114.99.158.44#33012: query: ulkhwvopolud.www.florasky.cn IN A + (MY SERVER IP)
client 50.171.130.116#58826: query: uneburexorkbsrgx.www.ludashi789.com IN A + (MY SERVER IP)
client 96.17.162.81#24693: query: unsjwpinczcd.www.ludashi789.com IN A + (MY SERVER IP)
client 116.158.62.221#9755: query: clylslwdwlov.www.ludashi789.com IN A + (MY SERVER IP)
client 114.197.183.246#39810: query: qjyn.www.florasky.cn IN A + (MY SERVER IP)
client 82.43.231.89#35249: query: yxwlubah.www.florasky.cn IN A + (MY SERVER IP)
client 21.189.79.22#30864: query: wpgboted.www.florasky.cn IN A + (MY SERVER IP)
client 50.107.178.249#5585: query: kzwhmdqjqrat.www.ludashi789.com IN A + (MY SERVER IP)
client 14.57.75.38#26008: query: ojudkzytqlqn.www.ludashi789.com IN A + (MY SERVER IP)
client 98.214.7.43#51927: query: md.www.florasky.cn IN A + (MY SERVER IP)
client 61.51.158.42#5778: query: ufstavonszktox.www.ludashi789.com IN A + (MY SERVER IP)
client 24.221.104.57#38899: query: gpexcvixodaj.www.florasky.cn IN A + (MY SERVER IP)
client 75.217.45.169#50011: query: ybmdyjob.www.florasky.cn IN A + (MY SERVER IP)
client 111.205.26.113#63499: query: onwzmlgpsfwzap.www.ludashi789.com IN A + (MY SERVER IP)
client 113.68.70.81#9947: query: kvajqdmxqxgzal.www.florasky.cn IN A + (MY SERVER IP)
client 95.193.118.38#13226: query: gnyjyrinovclsfqn.www.ludashi789.com IN A + (MY SERVER IP)
client 101.121.90.99#9047: query: wfglevwnqfwfkl.www.ludashi789.com IN A + (MY SERVER IP)
client 13.76.29.77#13797: query: ingrsrsdwvexkp.www.ludashi789.com IN A + (MY SERVER IP)
client 67.88.217.227#24213: query: edqjujahodyf.www.ludashi789.com IN A + (MY SERVER IP)
client 37.108.134.137#53089: query: qxojixixmpahyngx.www.ludashi789.com IN A + (MY SERVER IP)
Respuesta1
Lo primero que debes entender es que tú no eres el objetivo de este ataque. Cuando se habilitó la recursividad, personas desagradables encontraron esto en sus escaneos de red y su servidor fue agregado a una lista de nodos de ataque que estaban "dispuestos" a ayudarlos.
Aunque la vulnerabilidad ha sido parcheada, ahora se encuentra en una base de datos de servidores vulnerables que se ha distribuido en al menos una red de malware. No hay nada que puedas hacer para cambiar esto: hasta que alguien decida limpiar su lista, estas consultas seguirán llegando. A menos que su canalización (o disco de registro) sea pequeño, estas consultas no deberían tener mucho impacto en su servidor si son rechazadas.
La única otra cosa que realmente puedo sugerir es que mueva este servicio a una dirección IP diferente y reemplace esta IP con un dispositivo que pueda descartar cómodamente todo el tráfico en el puerto 53.