Я использую BIND в качестве DNS-сервера. Я отключил рекурсивный DNS-запрос. Теперь я подвергаюсь какой-то атаке. Есть ли способ это заблокировать или мне придется отпустить?
Мой журнал запросов:
client 75.214.6.32#39884: query: elipylavofkb.www.florasky.cn IN A + (MY SERVER IP)
client 19.61.194.206#59208: query: mzynovatmhapahen.www.ludashi789.com IN A + (MY SERVER IP)
client 108.8.241.1#50963: query: mdelolwtspupyzmz.www.ludashi789.com IN A + (MY SERVER IP)
client 112.224.24.10#63434: query: wdybkhodehov.www.florasky.cn IN A + (MY SERVER IP)
client 76.160.109.141#1231: query: gxefmpidgjur.www.florasky.cn IN A + (MY SERVER IP)
client 16.18.114.118#37018: query: engjcvwjsdgz.www.florasky.cn IN A + (MY SERVER IP)
client 114.99.158.44#33012: query: ulkhwvopolud.www.florasky.cn IN A + (MY SERVER IP)
client 50.171.130.116#58826: query: uneburexorkbsrgx.www.ludashi789.com IN A + (MY SERVER IP)
client 96.17.162.81#24693: query: unsjwpinczcd.www.ludashi789.com IN A + (MY SERVER IP)
client 116.158.62.221#9755: query: clylslwdwlov.www.ludashi789.com IN A + (MY SERVER IP)
client 114.197.183.246#39810: query: qjyn.www.florasky.cn IN A + (MY SERVER IP)
client 82.43.231.89#35249: query: yxwlubah.www.florasky.cn IN A + (MY SERVER IP)
client 21.189.79.22#30864: query: wpgboted.www.florasky.cn IN A + (MY SERVER IP)
client 50.107.178.249#5585: query: kzwhmdqjqrat.www.ludashi789.com IN A + (MY SERVER IP)
client 14.57.75.38#26008: query: ojudkzytqlqn.www.ludashi789.com IN A + (MY SERVER IP)
client 98.214.7.43#51927: query: md.www.florasky.cn IN A + (MY SERVER IP)
client 61.51.158.42#5778: query: ufstavonszktox.www.ludashi789.com IN A + (MY SERVER IP)
client 24.221.104.57#38899: query: gpexcvixodaj.www.florasky.cn IN A + (MY SERVER IP)
client 75.217.45.169#50011: query: ybmdyjob.www.florasky.cn IN A + (MY SERVER IP)
client 111.205.26.113#63499: query: onwzmlgpsfwzap.www.ludashi789.com IN A + (MY SERVER IP)
client 113.68.70.81#9947: query: kvajqdmxqxgzal.www.florasky.cn IN A + (MY SERVER IP)
client 95.193.118.38#13226: query: gnyjyrinovclsfqn.www.ludashi789.com IN A + (MY SERVER IP)
client 101.121.90.99#9047: query: wfglevwnqfwfkl.www.ludashi789.com IN A + (MY SERVER IP)
client 13.76.29.77#13797: query: ingrsrsdwvexkp.www.ludashi789.com IN A + (MY SERVER IP)
client 67.88.217.227#24213: query: edqjujahodyf.www.ludashi789.com IN A + (MY SERVER IP)
client 37.108.134.137#53089: query: qxojixixmpahyngx.www.ludashi789.com IN A + (MY SERVER IP)
решение1
Первое, что нужно понять, это то, что вы не являетесь целью этой атаки. Когда рекурсия была включена, негодяи обнаружили это в своих сетевых сканированиях, и ваш сервер был добавлен в список узлов атаки, которые «желали» им помочь.
Несмотря на то, что уязвимость была исправлена, теперь вы находитесь в базе данных уязвимых серверов, которая была распространена по крайней мере в одной вредоносной сети. Вы ничего не можете сделать, чтобы изменить это: пока кто-то не решит очистить свой список, эти запросы будут продолжать поступать. Если только ваш канал (или диск для журналирования) не крошечный, эти запросы не должны оказывать большого влияния на ваш сервер, если они отклоняются.
Единственное, что я могу посоветовать, — это переместить эту службу на другой IP-адрес и заменить этот IP-адрес устройством, которое сможет без проблем сбрасывать весь трафик на порту 53.