自建的 dnsmasq 被人用于放大攻击，怎么办

This topic created in 4254 days ago, the information mentioned may be changed or developed.

本来是建来自用，加上防污染。
现在被人用于放大攻击，请求量非常大
请问怎么屏蔽这些攻击啊

Sep 30 11:25:44 dnsmasq[15372]: query[A] epctiheb.www.s88822.com from 88.211.183.171
Sep 30 11:25:45 dnsmasq[15372]: query[A] qporilwf.www.s88822.com from 82.46.0.226
Sep 30 11:25:45 dnsmasq[15372]: query[A] mpibilkncnwbwb.www.S99933.com from 86.118.208.44
Sep 30 11:25:45 dnsmasq[15372]: query[A] dbumzvloh.www.S88855.com from 94.165.9.7
Sep 30 11:25:45 dnsmasq[15372]: query[A] qdcjsrwfmpwr.www.080.com from 121.194.43.52
Sep 30 11:25:45 dnsmasq[15372]: query[A] ebcxsdcvyhuj.www.S99933.com from 39.229.232.1
Sep 30 11:25:46 dnsmasq[15372]: query[A] vkvxixmnjohqnog.www.S11888.com from 58.62.37.62
Sep 30 11:25:46 dnsmasq[15372]: query[A] x.www.S99933.com from 56.146.33.196
Sep 30 11:25:47 dnsmasq[15372]: query[A] gchsblceegp.www.S88855.com from 85.218.71.173
Sep 30 11:25:47 dnsmasq[15372]: query[A] cpkbgjqfmxmhqp.www.080.com from 126.207.94.210
Sep 30 11:25:47 dnsmasq[15372]: query[A] gxuxatelurqjcp.www.S11888.com from 89.54.39.39
Sep 30 11:25:47 dnsmasq[15372]: query[A] pxyjtgibiqa.www.S99933.com from 6.138.41.27
Sep 30 11:25:48 dnsmasq[15372]: query[A] rsoyjzeci.www.S88855.com from 62.102.20.82
Sep 30 11:25:48 dnsmasq[15372]: query[A] otgbkdaxqxuj.www.080.com from 85.101.17.224
Sep 30 11:25:49 dnsmasq[15372]: query[A] nbcqefthiwxym.www.1809.com from 121.143.78.163
Sep 30 11:25:49 dnsmasq[15372]: query[A] shotivsxefixyp.www.S99933.com from 119.192.175.56
Sep 30 11:25:50 dnsmasq[15372]: query[A] zwh.www.S11888.com from 5.40.157.10

dnsmasq

Sep

query

10 replies • 2014-10-01 00:57:44 +08:00

tms

Sep 30, 2014

只允许自己的IP使用

lhbc

Sep 30, 2014 via iPhone

@tms 服务器放在公网，手机之类的太多动态IP了

liyaoxinchifan

Sep 30, 2014

你用的是VPS吗，我VPS上的BIND之前同样被攻击了，服务商直接后台给我发tk，不解决就要关VPS...

AstroProfundis

Sep 30, 2014

dnsmasq 监听在本地非标准端口，前面套一层bind指定上游为本地的dnsmasq的端口，然后bind上面设置相应频率限制（RRL），centos系这个功能是已经打开了的，archlinux可以用aur里面我打包的 bind-rl 别的发行版没试过... https://kb.isc.org/article/AA-01000/0/A-Quick-Introduction-to-Response-Rate-Limiting.html

lhbc

Sep 30, 2014

@liyaoxinchifan 我的是国内的服务器

google456

Sep 30, 2014

别人怎么会知道的？？？

lhbc

Sep 30, 2014

@AstroProfundis 这个方法不错

因为DNS和VPN架在一起，VPN会下发路由给客户端
下午修改了下架构，服务器绑多一个内网IP，VPN把这个内网的路由下发到VPN客户端，dnsmasq只绑这个内网IP
测试Windows、OS X、iOS、Android的VPN客户端均无问题
暂时解决了这个问题

lhbc

Sep 30, 2014

@google456 攻击者要发动这种攻击，肯定会扫遍全球IP的53端口
各种常见端口都有人扫。以前有同事上新服务器，root用了弱密码，没改SSHD端口，上架一两个小时就被黑了
所以目前国内运营商的DNS，都只限省内IP访问

AstroProfundis

Sep 30, 2014

@lhbc 哦哦VPN用不需要给外网访问，你这样更好，我是搞了个类似公共DNS的东西自己用，就只能这样蛋疼地绕一下_(:зゝ∠)_

aveline

Oct 1, 2014

我所有的递归 DNS 服务器都部署了这个黑名单，挺好用的 :-)
https://github.com/smurfmonitor/dns-iptables-rules