আমার ডিএনএস সার্ভার 20 এমবিপিএস চাপ দিচ্ছে কেন?


22

আমি ইসি 2 তে একটি ডিএনএস সার্ভার চালাচ্ছি এবং গতকাল যখন আমি আমার বিলিংয়ের ড্যাশবোর্ডটি পরীক্ষা করেছিলাম এবং এই মাসে 1.86 টিবি ব্যবহৃত ডেটা পেয়েছি তখন এটি প্রায় 20 এমবিপিএস চাপ দিচ্ছে। এটি আমার ছোট প্রকল্পের পরীক্ষাগারের জন্য একটি বড় বিল। আমি কখনই পারফরম্যান্স হ্রাস লক্ষ্য করি নি এবং এর আগে ট্র্যাফিক থ্রেশহোল্ডগুলি সেটআপ করতে মাথা ঘামাইনি, তবে আমার এখন থেকে ব্যান্ডউইথ চার্জের জন্য 200 ডলার খরচ হয়েছে।

দেখে মনে হচ্ছে কেউ আমার ডিএনএস সার্ভারকে এমপ্লিফিকেশন আক্রমণের অংশ হিসাবে ব্যবহার করেছে, তবে কীভাবে আমি এর ক্ষতি করছি।

কনফিগারেশন নীচে।

// BBB.BBB.BBB.BBB = ns2.mydomain.com ip address

options {
        listen-on port 53 { any; };
//      listen-on-v6 port 53 { ::1; };
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-transfer { BBB.BBB.BBB.BBB; };
        allow-query-cache { BBB.BBB.BBB.BBB; };
        allow-query { any; };
        allow-recursion { none; };

        empty-zones-enable no;
        forwarders { 8.8.8.8; 8.8.4.4; };

        fetch-glue no;
        recursion no;

        dnssec-enable yes;
        dnssec-validation yes;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
        type hint;
        file "named.ca";
};

zone "mydomain.com" IN {
        type master;
        file "zones/mydomain.com";
        allow-transfer { BBB.BBB.BBB.BBB; localhost; };
};

এই কনফিগারেশনটি দেওয়া হয়েছে, আমি স্থানীয়ভাবে হোস্ট করছি না এমন জোনগুলির জন্য কোনও প্রশ্নের উত্তর দেওয়া উচিত নয়? এই সার্ভারটি কয়েকটি ডোমেনের জন্য এসওএ, তবে আমার অন্যান্য সার্ভারগুলির দ্বারা কোনও কিছুই দেখার জন্য ব্যবহৃত হয় না (প্রত্যেকেই ওপেনডিএনএস বা গুগলের বিপরীতে সমাধান করে)। আমার এখানে কোন নির্দেশনা ভুল হয়েছে, বা আমি ভুলে যাচ্ছি? আমার লগগুলি (M৩ এমবি +) এটি পূর্ণ:

client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 58.215.173.155#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 218.93.206.228#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 50.19.220.154#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied
client 123.207.161.124#4444: query (cache) 'cpsc.gov/ANY/IN' denied

9
এটি আপনার প্রশ্নের উত্তর দেয় না, তবে আপনার বিলিং সতর্কতাগুলি ডকস.ওএস.মাজোন.com
টিম

আরএফসি 7873 সমর্থন ছাড়াই সমস্ত ক্লায়েন্টের জন্য টিসিপিতে জোর করে চাপিয়ে দেওয়া আপনার পক্ষে কি গ্রহণযোগ্য হবে?
ক্যাস্পারড

1
BIND- র মধ্যে সীমাবদ্ধতা
রুই এফ রিবেইরো

অনুমোদনমূলক ডিএনএস সার্ভারগুলিতে রুইএফরিবিয়েরো রেট সীমাবদ্ধ করা কার্যকর হতে পারে। তবে রেট সীমাবদ্ধতা নিজেই একটি দুর্বল পয়েন্ট হতে পারে যা ডস আক্রমণে ব্যবহার করা যেতে পারে। যদি কোনও আক্রমণকারী রেট সীমাবদ্ধকরণ সহ কোনও অনুমোদনযোগ্য সার্ভারে হোস্ট করা ডোমেনের অনুসন্ধানগুলির জন্য পুনরাবৃত্তিকারীদের বন্যা করে থাকে তবে সেই পুনরাবৃত্তির বৈধ ব্যবহারকারীরা আর আক্রমণের অধীনে থাকা ডোমেনে রেকর্ডগুলি সমাধান করতে পারবেন না। এই আক্রমণটি এনএসইসি / এনএসইসি 3 এর আগ্রাসী ব্যবহার দিয়ে প্রশমিত করা যেতে পারে যা ব্যাপকভাবে মোতায়েন করা হয়নি।
ক্যাস্পারড

উত্তর:


19

এমনকি যদি আপনার সার্ভারটি কেবল আপনার যেমন অনুমোদনের প্রশ্নগুলির জবাব দিতে সেট করা থাকে, তখনও এটি প্রশস্তকরণ আক্রমণটির জন্য ব্যবহার করা সম্ভব - ANYএকটি জোনটির মূলের বিরুদ্ধে অনুসন্ধানগুলি যথেষ্ট ভারী ইউডিপি প্রতিক্রিয়া শুরু করতে পারে, যেহেতু জোনের রুটের প্রবণতা রয়েছে বিশেষত এসপিএফ / ডিকেআইএম / ডিএনএসএসইসি সহ বেশ কয়েকটি রেকর্ড।

এটি সম্ভবত আপনার সিস্টেমে যা ঘটছে - tcpdumpতা নিশ্চিত করার জন্য ব্যবহার করুন। যদি তারা প্রশস্তকরণ আক্রমণে আপনার অনুমোদনযোগ্য রেকর্ডগুলি ব্যবহার করে থাকে তবে আপনার সর্বোত্তম বিকল্পগুলি কেবলমাত্র একটি নতুন আইপিতে স্থানান্তরিত হবে এবং আশা করছেন তারা অনুসরণ করেন না, আপনার জোন রুট রেকর্ডগুলিকে কম কার্যকর পরিবর্ধক ভেক্টর হিসাবে পরিবর্তন করতে, বা বাস্তবায়ন করতে পারে প্রতিক্রিয়া হার সীমাবদ্ধ (যদি আপনার BIND এটি সমর্থন করে)।


যদিও তারা আমার অঞ্চলগুলি জিজ্ঞাসা করছে না ... আমার সার্ভারটি এগুলি উত্তর দেওয়ার পরিবর্তে এগুলি বাদ দিবে না?
রাসেল অ্যান্টনি

4
@ রাসেল অ্যান্থনি আপনি যে লগ এন্ট্রিগুলি দেখছেন সেগুলির জন্য, হ্যাঁ, আমি বিশ্বাস করি এটি তাদের ফেলে দিচ্ছে - তবে সফল আক্রমণে ট্র্যাফিকের জন্য কোনও লগ এন্ট্রি তৈরি হবে না, সুতরাং লগগুলির নিরিখে ব্যান্ডউইথের ব্যবহার অদৃশ্য। যদি আক্রমণটি এখনও অব্যাহত থাকে (এখনও নতুন লগ এন্ট্রিগুলি পাওয়া যাচ্ছে?) আমি বাজি ধরেছি ANYএই ব্যর্থতাগুলির পাশাপাশি আরও অনেক সফল অনুসন্ধান রয়েছে।
শেন ম্যাডেন

2
যুক্ত হয়েছে rate-limit { responses-per-second 1; };এবং মনে হচ্ছে এটি বেশ কিছুটা ট্র্যাফিক নেমে গেছে। আমার জানা ছিল না যে বাঁধাই নিজে থেকেই নিজের থেকে আরআরএল করতে পারে।
রাসেল অ্যান্টনি

1
যদি তারা প্রকৃতপক্ষে অনুমোদনমূলক রেকর্ডগুলির জন্য অনুসন্ধানগুলি প্রেরণ করছিল তবে এর অর্থ তারা ডোমেন নামটি জেনে থাকতে হবে। সেক্ষেত্রে এটি এতটা সম্ভব নয় যে কোনও নতুন আইপি-তে সরানো যেমন সহায়তা করবে তারা বৈধ ব্যবহারকারীদের মতো নতুন আইপি ঠিকানাটি তত দ্রুত খুঁজে পেতে সক্ষম হবেন।
ক্যাস্পারড

6
কেবলমাত্র নিশ্চিত হয়ে নিন যে আপনার হার-সীমাবদ্ধতা কোনও ডস আক্রমণ ভেক্টরে পরিণত হয় না: আক্রমণকারী যদি প্রতিক্রিয়া সীমাটি ছাড়িয়ে যায় তবে বৈধ ক্যাশে (যেমন ওপেনডিএনএস এবং গুগল) আপনার নামটিও সমাধান করতে ব্যর্থ হতে পারে।
জোনাস শোফার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.