V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
crzidea
V2EX  ›  宽带症候群

家里宽带 53 端口遭到来自浙江 IP 的攻击

  •  
  •   crzidea · 27 天前 · 1962 次点击

    话不多说,上日志:

    Tue Oct 29 14:27:11 2024 daemon.info dnsmasq[1]: 1589200 115.231.78.4/35313 forwarded me83efc9fbfb3.detr3.mi.comcast.net to 127.0.0.1#5053
    Tue Oct 29 14:27:12 2024 daemon.info dnsmasq[1]: 1589206 115.231.78.2/54993 forwarded abszdbgsbm.muccz.cf to 127.0.0.1#5053
    Tue Oct 29 14:27:13 2024 daemon.info dnsmasq[1]: 1589209 115.231.78.8/14017 forwarded chunmei.lichenyeya.com to 127.0.0.1#5053
    Tue Oct 29 14:27:14 2024 daemon.info dnsmasq[1]: 1589213 115.231.78.8/14017 forwarded zK3fLH.dmdiao.com to 127.0.0.1#5053
    Tue Oct 29 14:27:15 2024 daemon.info dnsmasq[1]: 1589214 115.231.78.2/54993 forwarded vnfyyydarp.okcla.ga to 127.0.0.1#5053
    Tue Oct 29 14:27:16 2024 daemon.info dnsmasq[1]: 1589200 115.231.78.4/35313 forwarded me83efc9fbfb3.detr3.mi.comcast.net to 127.0.0.1#5053
    Tue Oct 29 14:27:17 2024 daemon.info dnsmasq[1]: 1589215 115.231.78.2/54993 forwarded qtweaklias.okcla.ga to 127.0.0.1#5053
    Tue Oct 29 14:27:19 2024 daemon.info dnsmasq[1]: 1589217 115.231.78.2/54993 forwarded vljaacnwks.okcla.ga to 127.0.0.1#5053
    Tue Oct 29 14:27:20 2024 daemon.info dnsmasq[1]: 1589218 115.231.78.2/54993 forwarded gtcyznwhla.okcla.ga to 127.0.0.1#5053
    Tue Oct 29 14:27:21 2024 daemon.info dnsmasq[1]: 1589219 115.231.78.2/54993 forwarded qlcprpdpbr.malez.tk to 127.0.0.1#5053
    Tue Oct 29 14:27:21 2024 daemon.info dnsmasq[1]: 1589215 115.231.78.2/54993 forwarded qtweaklias.okcla.ga to 127.0.0.1#5053
    Tue Oct 29 14:27:21 2024 daemon.info dnsmasq[1]: 1589220 115.231.78.8/14017 forwarded yo71t7.vietnamairline.asia to 127.0.0.1#5053
    Tue Oct 29 14:27:22 2024 daemon.info dnsmasq[1]: 1589222 115.231.78.8/14017 forwarded 63639736.699019.com to 127.0.0.1#5053
    Tue Oct 29 14:27:22 2024 daemon.info dnsmasq[1]: 1589223 115.231.78.4/35313 forwarded mfc91145a9dc2.npls.fl.comcast.net to 127.0.0.1#5053
    Tue Oct 29 14:27:23 2024 daemon.info dnsmasq[1]: 1589217 115.231.78.2/54993 forwarded vljaacnwks.okcla.ga to 127.0.0.1#5053
    Tue Oct 29 14:27:24 2024 daemon.info dnsmasq[1]: 1589246 115.231.78.8/14017 forwarded pi0w4t.chungcuthudo247.xyz to 127.0.0.1#5053
    

    115.231.78.0/24 这个段的 IP 所属公司 Hangzhou Duchuang Keji Co.,Ltd ,有没有可能是网警的?祝这个公司早日倒闭。太离谱了,一天 30 万次请求。已经 Traffic Rules: Drop + Exclude interface: wan, wan_6 处理了。本来也没想给外网用。

    16 条回复    2024-11-06 16:17:26 +08:00
    SkywalkerJi
        1
    SkywalkerJi  
       27 天前 via Android
    估计是肉鸡跳板
    看了下是个做软管的厂。
    dalaoshu25
        2
    dalaoshu25  
       26 天前
    不是,你为什么要让自己的 53 端口能被 WAN 一侧访问到?你这本身就是不当和危险行为啊。
    laiyibeimeishi
        3
    laiyibeimeishi  
       26 天前
    所以你为什么要开放 53 端口到外网?这是很危险的行为,每天都有愣头青扫全 ip 段
    peasant
        4
    peasant  
       26 天前
    https://www.v2ex.com/t/1019877
    OP 如果没有互联网域名解析服务业务许可证的话,算是非法开展 DNS 解析服务了吧。
    ycsos
        5
    ycsos  
       26 天前
    我也被攻击过,主要会被作为跳板机 dns 放大攻击 ddos 攻击其他的主机,当时是一段时间上行流量爆了才发现的。后面把访问 wan 的 53 端口的 ip 全 ban 了
    crzidea
        6
    crzidea  
    OP
       26 天前
    @dalaoshu25
    @laiyibeimeishi
    @peasant
    行啦,哎呦,真是见识到生物多样性了,有的人脑子的逻辑和正常人就是不一样。今天给你们上一课:
    1. 一看你们就是没自己搞过 OpenWRT 和 Dnsmasq ,OpenWRT 和 Dnsmasq 默认都是开放 53 端口给所有 interface 的,参考 https://openwrt.org/docs/guide-user/base-system/dhcp#all_options ,搜索 interface ,看看默认值是什么。
    2. 不懂法还不懂装懂就离谱,尴尬得我都浑身不得劲了。你带茅台和中华上街,拿着手累临时把烟酒放在路边,结果有个未成年的熊孩子把烟酒拿走了,这算不算『为未成年人提供烟酒』?『提供烟酒』和『开展服务』的关键都是主观意向和行为。还『非法』,真是尴尬得脚指头都抽筋了。
    3. 你们不关注主动发起攻击的人,反而不懂装懂的挑衅被攻击的人,这个价值观没救了,还是回炉重造吧。
    dalaoshu25
        7
    dalaoshu25  
       26 天前   ❤️ 2
    OP 真是天真得可爱。在这兵荒马乱的时节,但求多福吧。
    username1919810
        8
    username1919810  
       26 天前
    原来你公网没有阻断 53 这个端口啊?那感觉 80 443 也能打开
    什么运营商这么好推荐一下
    crzidea
        9
    crzidea  
    OP
       26 天前
    @dalaoshu25 别光说些无知挑衅的让人看不起。你要是有理有据,拿出来跟大家讲讲看看你的逻辑和依据啊。还让别人自求多福,让人看不起。
    crzidea
        10
    crzidea  
    OP
       26 天前
    @username1919810 我也没想到没阻断,我一直以为是阻断了的,之前也从来没看到过来自外网的访问记录。电信。
    Immunize
        11
    Immunize  
       26 天前
    @crzidea #6 虽然 dnsmasq 会监听所有接口,但是 /network/firewall/rules 里面应该不会默认入向放通 UDP 53 端口呀,是不是误操作放通了所有端口。
    crzidea
        12
    crzidea  
    OP
       26 天前
    @Immunize 你说的这个对,我设置了 zone wan input ACCEPT 。但是为了游戏联机体验,还是得开。把端口规则加上得了。
    Immunize
        13
    Immunize  
       25 天前
    @crzidea #12 理论上讲 zone wan input ACCEPT 这样配置对联机游戏应该是没有改善的,因为公网 IP 是属于你路由器的,外部主动访问你公网 IP 的端口也只能访问到你的路由器。 这对路由器背后的内网设备应该是没有帮助的。正确的作法应该是保持 zone wan input REJECT ,打开 upnp 功能,游戏会通过 upnp + STUN 打洞,完成联机 p2p 。如果确实有些固定端口的应用可以在防火墙里加特定的转发规则,转发到你想要的设备,比如 NAS 上的一些服务。完全放开安全组,确实很不安全,毕竟 openwrt 自用也不会经常升级,不排除某些有些安全漏洞的内网服务暴露在了公网产生安全风险。
    sp670
        14
    sp670  
       25 天前
    坐标 0779 电信,时至今日家宽的 53 端口也是一直默认打开的。
    我家用的 ROS ,ROS 默认的 DNS 也是向 WAN 口开放的,之前也是被攻击,后来直接把 WAN 口进来 53 端口的包全 drop 了了事
    tjiaming99
        15
    tjiaming99  
       25 天前
    @crzidea 其实人家说的也没有错,对于个人最简单的处理办法就是用防火墙把端口 ban 掉。互联网攻击就跟印度的强奸案一样,对于没有办法从发起者入手,那么最好的办法就是保护好自己,别穿的暴露又到处跑。
    认死理在技术上可能是好事,但是放在平常上就是很蠢的一种行为
    SakuraYuki
        16
    SakuraYuki  
       18 天前
    @crzidea 游戏开了 upnp 会自己打洞的吧,没必要全部放行,太危险了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5648 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 08:11 · PVG 16:11 · LAX 00:11 · JFK 03:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.