DNS 서버로 BIND를 사용하고 있습니다. 재귀 DNS 요청을 비활성화했습니다. 이제 나는 일종의 공격을 받고 있습니다. 이것을 차단할 것이 있었습니까, 아니면 놓아주어야 합니까?
내 쿼리 로그:
client 75.214.6.32#39884: query: elipylavofkb.www.florasky.cn IN A + (MY SERVER IP)
client 19.61.194.206#59208: query: mzynovatmhapahen.www.ludashi789.com IN A + (MY SERVER IP)
client 108.8.241.1#50963: query: mdelolwtspupyzmz.www.ludashi789.com IN A + (MY SERVER IP)
client 112.224.24.10#63434: query: wdybkhodehov.www.florasky.cn IN A + (MY SERVER IP)
client 76.160.109.141#1231: query: gxefmpidgjur.www.florasky.cn IN A + (MY SERVER IP)
client 16.18.114.118#37018: query: engjcvwjsdgz.www.florasky.cn IN A + (MY SERVER IP)
client 114.99.158.44#33012: query: ulkhwvopolud.www.florasky.cn IN A + (MY SERVER IP)
client 50.171.130.116#58826: query: uneburexorkbsrgx.www.ludashi789.com IN A + (MY SERVER IP)
client 96.17.162.81#24693: query: unsjwpinczcd.www.ludashi789.com IN A + (MY SERVER IP)
client 116.158.62.221#9755: query: clylslwdwlov.www.ludashi789.com IN A + (MY SERVER IP)
client 114.197.183.246#39810: query: qjyn.www.florasky.cn IN A + (MY SERVER IP)
client 82.43.231.89#35249: query: yxwlubah.www.florasky.cn IN A + (MY SERVER IP)
client 21.189.79.22#30864: query: wpgboted.www.florasky.cn IN A + (MY SERVER IP)
client 50.107.178.249#5585: query: kzwhmdqjqrat.www.ludashi789.com IN A + (MY SERVER IP)
client 14.57.75.38#26008: query: ojudkzytqlqn.www.ludashi789.com IN A + (MY SERVER IP)
client 98.214.7.43#51927: query: md.www.florasky.cn IN A + (MY SERVER IP)
client 61.51.158.42#5778: query: ufstavonszktox.www.ludashi789.com IN A + (MY SERVER IP)
client 24.221.104.57#38899: query: gpexcvixodaj.www.florasky.cn IN A + (MY SERVER IP)
client 75.217.45.169#50011: query: ybmdyjob.www.florasky.cn IN A + (MY SERVER IP)
client 111.205.26.113#63499: query: onwzmlgpsfwzap.www.ludashi789.com IN A + (MY SERVER IP)
client 113.68.70.81#9947: query: kvajqdmxqxgzal.www.florasky.cn IN A + (MY SERVER IP)
client 95.193.118.38#13226: query: gnyjyrinovclsfqn.www.ludashi789.com IN A + (MY SERVER IP)
client 101.121.90.99#9047: query: wfglevwnqfwfkl.www.ludashi789.com IN A + (MY SERVER IP)
client 13.76.29.77#13797: query: ingrsrsdwvexkp.www.ludashi789.com IN A + (MY SERVER IP)
client 67.88.217.227#24213: query: edqjujahodyf.www.ludashi789.com IN A + (MY SERVER IP)
client 37.108.134.137#53089: query: qxojixixmpahyngx.www.ludashi789.com IN A + (MY SERVER IP)
답변1
가장 먼저 이해해야 할 것은 당신이 이 공격의 대상이 아니라는 것입니다. 재귀가 활성화되면 불쾌한 사람들이 네트워크 검색에서 이를 발견했으며 서버는 그들을 지원할 "기꺼이" 공격 노드 목록에 추가되었습니다.
취약점이 패치되었음에도 불구하고 귀하는 이제 적어도 하나의 맬웨어 네트워크에 분산된 취약한 서버의 데이터베이스에 있습니다. 이를 변경하기 위해 할 수 있는 일은 없습니다. 누군가 목록을 정리하기로 결정할 때까지 이러한 쿼리는 계속해서 발생합니다. 파이프(또는 로깅 디스크)가 작지 않은 한 이러한 쿼리가 거부되더라도 서버에 큰 영향을 미치지 않아야 합니다.
제가 실제로 제안할 수 있는 유일한 것은 이 서비스를 다른 IP 주소로 옮기고 이 IP를 포트 53의 모든 트래픽을 편안하게 삭제할 수 있는 장치로 바꾸는 것입니다.