解决 CDN 后又出问题：自建的 DNS 遭遇 flood 攻击。 - V2EX

Home Sign Up Sign In

DNS 参考资料

› List of DNS Record Types

› dig 使用说明

› djbdns

› DNS Parameters

› dnslib for Python

This topic created in 4087 days ago, the information mentioned may be changed or developed.

两个DNS都在Azure的A1方案上，使用https://www.v2ex.com/t/131225这个程序，在WS2012R2上面直接运行exe就行了。
中午突然发现自己电脑解析不了域名了，遂登入RDP，一看log，三四个IP在刷屏，请求各种随机的域名，CPU直接满载。
很显然这是我遭遇flood攻击了...
同时最不巧的是接到了世纪互联客服小妹的电话，试用也要结束了，顺势就把DNS迁到了阿里云上面，我也不了解云盾能不能防flood...
大家对防flood有何方案？
我的思路是 5秒内发送超过10个请求就封掉这个IP... 但这个似乎在WS下没啥可行性...
如果有个方案也好，为此转投Debian也愿意...

最奇怪的是我的DNS从未公开，只给了二三十个“可靠的”自己认识的人用，居然莫名其妙就被flood。。。
难道是因为我加了AdBlock hosts和OneDNS那个屏蔽恶意域名的hosts动了某些人的蛋糕？

12 replies • 2015-03-16 01:47:56 +08:00

1

bobopu

Mar 15, 2015 via iPhone

没收到azure防火墙的报警邮件吗？如果没报警那就是不是流量型攻击了。你在系统里也没装防火墙限制udp包吗？

2

bobopu

Mar 15, 2015 via iPhone

也有可能是你这个ip之前被其他人用过的，误伤了。不过这个可能性小些吧。

3

lsylsy2

Mar 15, 2015

一看log，三四个IP在刷屏，请求各种随机的域名，CPU直接满载。

实际上，那三四个IP被你攻击了……你被当做放大攻击的跳板了

4

mengskysama

Mar 15, 2015

应该是DNS Amplification，可以在程序里实现个计数器和黑名单，10秒内超过100次请求就拒绝掉，你看到的IP是受害者IP。

5

mengskysama

Mar 15, 2015

IPV4 IP没多少，而且还是UDP，用一台机器扫整个段的DNS服务器一个月都不用。

6

bobopu

Mar 15, 2015 via iPhone

windows的话，上sep可解。

7

xiaozhizhu1997

OP

Mar 15, 2015

@bobopu 也许是愚蠢的我把防火墙关了的缘故。

8

bobopu

Mar 15, 2015

@xiaozhizhu1997 你把azure的端点关闭了？不会吧。

9

xiaozhizhu1997

OP

Mar 15, 2015

@bobopu 端点当初脑袋秀逗把80 443也给开了。。。。
我把WS系统自带防火墙给关了...

10

bobopu

Mar 15, 2015

1

@xiaozhizhu1997 如果没有运行iis的话，开这两个端口应该是不作响应的。系统自带的防火墙对这种攻击没啥效果。你需要对udp包做出限制，可上赛门铁克sep解决，或者服务器安全狗都能解决。

11

xiaozhizhu1997

OP

Mar 15, 2015 via Android

@bobopu 感谢指点，上了安全狗，限制了每秒接收的UDP包。

12

ryd994

Mar 16, 2015 via Android

应该就是有人用来反射了，限制客户请求频率，限制放大倍数，限制缓存miss频率，这些对exim都是基本

About · Help · Advertise · Blog · API · FAQ · Solana · 2690 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 52ms · UTC 05:27 · PVG 13:27 · LAX 22:27 · JFK 01:27
♥ Do have faith in what you're doing.