Estou usando o BIND como meu servidor DNS. Desativei a solicitação recursiva de DNS. Agora estou sob algum tipo de ataque. Existe alguma forma de bloquear isso ou tenho que deixar para lá?
Meu registro de consulta:
client 75.214.6.32#39884: query: elipylavofkb.www.florasky.cn IN A + (MY SERVER IP)
client 19.61.194.206#59208: query: mzynovatmhapahen.www.ludashi789.com IN A + (MY SERVER IP)
client 108.8.241.1#50963: query: mdelolwtspupyzmz.www.ludashi789.com IN A + (MY SERVER IP)
client 112.224.24.10#63434: query: wdybkhodehov.www.florasky.cn IN A + (MY SERVER IP)
client 76.160.109.141#1231: query: gxefmpidgjur.www.florasky.cn IN A + (MY SERVER IP)
client 16.18.114.118#37018: query: engjcvwjsdgz.www.florasky.cn IN A + (MY SERVER IP)
client 114.99.158.44#33012: query: ulkhwvopolud.www.florasky.cn IN A + (MY SERVER IP)
client 50.171.130.116#58826: query: uneburexorkbsrgx.www.ludashi789.com IN A + (MY SERVER IP)
client 96.17.162.81#24693: query: unsjwpinczcd.www.ludashi789.com IN A + (MY SERVER IP)
client 116.158.62.221#9755: query: clylslwdwlov.www.ludashi789.com IN A + (MY SERVER IP)
client 114.197.183.246#39810: query: qjyn.www.florasky.cn IN A + (MY SERVER IP)
client 82.43.231.89#35249: query: yxwlubah.www.florasky.cn IN A + (MY SERVER IP)
client 21.189.79.22#30864: query: wpgboted.www.florasky.cn IN A + (MY SERVER IP)
client 50.107.178.249#5585: query: kzwhmdqjqrat.www.ludashi789.com IN A + (MY SERVER IP)
client 14.57.75.38#26008: query: ojudkzytqlqn.www.ludashi789.com IN A + (MY SERVER IP)
client 98.214.7.43#51927: query: md.www.florasky.cn IN A + (MY SERVER IP)
client 61.51.158.42#5778: query: ufstavonszktox.www.ludashi789.com IN A + (MY SERVER IP)
client 24.221.104.57#38899: query: gpexcvixodaj.www.florasky.cn IN A + (MY SERVER IP)
client 75.217.45.169#50011: query: ybmdyjob.www.florasky.cn IN A + (MY SERVER IP)
client 111.205.26.113#63499: query: onwzmlgpsfwzap.www.ludashi789.com IN A + (MY SERVER IP)
client 113.68.70.81#9947: query: kvajqdmxqxgzal.www.florasky.cn IN A + (MY SERVER IP)
client 95.193.118.38#13226: query: gnyjyrinovclsfqn.www.ludashi789.com IN A + (MY SERVER IP)
client 101.121.90.99#9047: query: wfglevwnqfwfkl.www.ludashi789.com IN A + (MY SERVER IP)
client 13.76.29.77#13797: query: ingrsrsdwvexkp.www.ludashi789.com IN A + (MY SERVER IP)
client 67.88.217.227#24213: query: edqjujahodyf.www.ludashi789.com IN A + (MY SERVER IP)
client 37.108.134.137#53089: query: qxojixixmpahyngx.www.ludashi789.com IN A + (MY SERVER IP)
Responder1
A primeira coisa a entender é que você não é o alvo deste ataque. Quando a recursão foi habilitada, pessoas desagradáveis descobriram isso em suas varreduras de rede e seu servidor foi adicionado a uma lista de nós de ataque que estavam “dispostos” a ajudá-los.
Mesmo que a vulnerabilidade tenha sido corrigida, agora você está em um banco de dados de servidores vulneráveis que foi distribuído por pelo menos uma rede de malware. Não há nada que você possa fazer para mudar isso: até que alguém decida limpar sua lista, essas dúvidas continuarão chegando. A menos que seu pipe (ou disco de registro) seja pequeno, essas consultas não deverão causar muito impacto em seu servidor se forem recusadas.
A única outra coisa que posso sugerir é que você mova esse serviço para um endereço IP diferente e substitua esse IP por um dispositivo que possa descartar confortavelmente todo o tráfego na porta 53.