V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaozhizhu1997
V2EX  ›  DNS

解决 CDN 后又出问题:自建的 DNS 遭遇 flood 攻击。

  •  
  •   xiaozhizhu1997 · 2015-03-15 17:36:45 +08:00 · 4334 次点击
    这是一个创建于 3548 天前的主题,其中的信息可能已经有所发展或是发生改变。
    两个DNS都在Azure的A1方案上,使用https://www.v2ex.com/t/131225这个程序,在WS2012R2上面直接运行exe就行了。
    中午突然发现自己电脑解析不了域名了,遂登入RDP,一看log,三四个IP在刷屏,请求各种随机的域名,CPU直接满载。
    很显然这是我遭遇flood攻击了...
    同时最不巧的是接到了世纪互联客服小妹的电话,试用也要结束了,顺势就把DNS迁到了阿里云上面,我也不了解云盾能不能防flood...
    大家对防flood有何方案?
    我的思路是 5秒内发送超过10个请求就封掉这个IP... 但这个似乎在WS下没啥可行性...
    如果有个方案也好,为此转投Debian也愿意...

    最奇怪的是我的DNS从未公开,只给了二三十个“可靠的”自己认识的人用,居然莫名其妙就被flood。。。
    难道是因为我加了AdBlock hosts和OneDNS那个屏蔽恶意域名的hosts动了某些人的蛋糕?
    12 条回复    2015-03-16 01:47:56 +08:00
    bobopu
        1
    bobopu  
       2015-03-15 18:00:15 +08:00 via iPhone
    没收到azure防火墙的报警邮件吗?如果没报警那就是不是流量型攻击了。你在系统里也没装防火墙限制udp包吗?
    bobopu
        2
    bobopu  
       2015-03-15 18:01:23 +08:00 via iPhone
    也有可能是你这个ip之前被其他人用过的,误伤了。不过这个可能性小些吧。
    lsylsy2
        3
    lsylsy2  
       2015-03-15 18:09:07 +08:00
    一看log,三四个IP在刷屏,请求各种随机的域名,CPU直接满载。

    实际上,那三四个IP被你攻击了……你被当做放大攻击的跳板了
    mengskysama
        4
    mengskysama  
       2015-03-15 18:11:16 +08:00
    应该是DNS Amplification,可以在程序里实现个计数器和黑名单,10秒内超过100次请求就拒绝掉,你看到的IP是受害者IP。
    mengskysama
        5
    mengskysama  
       2015-03-15 18:13:10 +08:00
    IPV4 IP没多少,而且还是UDP,用一台机器扫整个段的DNS服务器一个月都不用。
    bobopu
        6
    bobopu  
       2015-03-15 18:38:35 +08:00 via iPhone
    windows的话,上sep可解。
    xiaozhizhu1997
        7
    xiaozhizhu1997  
    OP
       2015-03-15 19:12:13 +08:00
    @bobopu 也许是愚蠢的我把防火墙关了的缘故。
    bobopu
        8
    bobopu  
       2015-03-15 19:25:24 +08:00
    @xiaozhizhu1997 你把azure的端点关闭了?不会吧。
    xiaozhizhu1997
        9
    xiaozhizhu1997  
    OP
       2015-03-15 20:09:00 +08:00
    @bobopu 端点当初脑袋秀逗把80 443也给开了。。。。
    我把WS系统自带防火墙给关了...
    bobopu
        10
    bobopu  
       2015-03-15 20:41:53 +08:00   ❤️ 1
    @xiaozhizhu1997 如果没有运行iis的话,开这两个端口应该是不作响应的。系统自带的防火墙对这种攻击没啥效果。你需要对udp包做出限制,可上赛门铁克sep解决,或者服务器安全狗都能解决。
    xiaozhizhu1997
        11
    xiaozhizhu1997  
    OP
       2015-03-15 20:59:09 +08:00 via Android
    @bobopu 感谢指点,上了安全狗,限制了每秒接收的UDP包。
    ryd994
        12
    ryd994  
       2015-03-16 01:47:56 +08:00 via Android
    应该就是有人用来反射了,限制客户请求频率,限制放大倍数,限制缓存miss频率,这些对exim都是基本
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2804 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 12:43 · PVG 20:43 · LAX 04:43 · JFK 07:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.