iT邦幫忙

0

dns server的53 port何謂大量?

最近才發現公司的dns每天都會攻擊hinet的dns

攻擊名稱為 攻擊次數
G_knuckleheadskc.com 2313次
H_tx.nadersamar2.org 2300次
這是一天的量,請問這正常嗎?
因為小弟去查看了一下防火牆,
看起來是公司內部的人上網都需經過公司的dns去查詢hinet的dns
公司上網pc大約50台上下
每天大約3~4000筆

那G_knuckleheadskc.com和H_tx.nadersamar2.org
是毒病名稱嗎?小弟在google找不到這名詞冏rz

會發現這問題是某天某個IP以用大量53PORT的方式
來連我這邊的IP,防火牆擋都擋不住(每秒好幾十筆
規則設定好存檔,防火牆還是當
最後是對方停住才正常|||冏rz
中華電信也沒法幫鎖對方IP連我方IP(記得之前會幫呀~"~
這有方法解決嗎?還有公司的dns server連至hinet dns server這樣攻擊的名稱和量正常嗎?

zyman2008 iT邦大師 8 級 ‧ 2011-05-12 15:35:35 檢舉
請問內部電腦 DNS server 是指向哪裡 ?
防火牆 DNS server 是指向哪裡 ?
qmomaruko iT邦新手 5 級 ‧ 2011-05-13 13:46:10 檢舉
公司內部的電腦dns都設定168.95.1.1、168.95.192.1
防火牆有開放內部或外來的都可以通過dns 53port


然後,只有一台dns server是架在防火牆之外,設固定IP
這台是用來解析公司網站指向公司的固定IP和其他像FTP等等
這一台主機網卡設的DNS也是168.95.1.1、168.95.192.1
而就是這一台,發現每天有對168.95.1.1、168.95.192.1做出攻擊
不知這樣說明是否足夠??
如果沒有請跟小弟說一下,謝謝。
4
ayu
iT邦好手 5 級 ‧ 2011-05-15 10:06:54
最佳解答

您在發問中提到:
* 公司內部的人上網都需經過公司的dns去查詢hinet的dns
如果真是如此, 那麼樓上的大大已提供很好的解答.

但在討論那邊則補充到:
* 公司內部的電腦dns都設定168.95.1.1、168.95.192.1

這兩種講法是有衝突的(也可能我沒看懂您的意思),
但我想最有可能的狀況是:
公司內部電腦直接使用 168.95.1.1、168.95.192.1 ,
這樣內部PC的 DNS query 只會經過防火牆再連往 hinet dns,
並不會經過公司那台 authoritative dns server .

公司的DNS server除了負責公司網域名的解析設定外,
很可能也對外開放 recursive query (遞迴查詢),
而由於這部dns server又設定了 resolver 為 hinet 那兩台,
因此當被問到非自己所能回答的東西時, 就會轉向 hinet 查詢.
在台灣, hinet dns 被誤用得太兇了, 也誤導了很多人在這方面的認知.

***基於資安考量, 請關掉 authoritative dns 對外界提供的遞迴查詢.***
資安是需要使用者自己留意的, ISP沒有義務幫忙, 除非你另買它的資安服務.
至於你所多次提到的dns攻擊, 其實只能算異常查詢,
真正的攻擊, 只要頻寬夠大, 一秒鐘就可以超過你說的量.

qmomaruko iT邦新手 5 級 ‧ 2011-05-17 15:17:49 檢舉

感謝ayu大大的回答,但我覺得也是如此,也希望是這樣,
而公司就是有ISP的資安服務,
登進去看才發現有這二個攻擊,
所以我才會想說這到底是一般的查詢還是ISP資安上所寫的木馬攻擊,

還有就是dns server有二台,
一台就是獨立在公司防火牆外面,
一台在火牆內,我也不知哪一台是主哪一台是副,
依連線看來,外面的人都是連進防火牆裡面的dns server去解析的,
而獨立那一台都沒有人連進來,卻會連出去到hinet的dns耶,
看來真的有問題了嗎~"~
還是因為外面那一台DNS server裡面我還有安裝雷電mail的關係嗎

4
zyman2008
iT邦大師 8 級 ‧ 2011-05-12 11:19:59

你內部應該有電腦中毒了, 所以才會有這種行為.
建議:
1.在你的 DNS server 啟動 log, 可以由 source ip address 知道是哪些內部電腦
在 query 這兩個 domain.
2.再到這些電腦上作掃毒.

類似的病毒資料參考: 中毒後會有 DNS query tx.nadersamar2.org 的行為
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Mal~Agent-PT/detailed-analysis.aspx

2
harrier7
iT邦研究生 2 級 ‧ 2011-05-18 10:57:38

內外都有 DNS 是為了負責對內對外的不同解析。
如果您懷疑有問題,請確認:
1.patch/update 是否都有更新?
2.是否有啟用防火牆?
3.是否有安裝防毒軟體?
第 1. & 2. 不管是 Linux or Windows or FreeBSD or..etc 都該執行;
第 3. Windows 一定要裝,server 也有完全免費的版本。
至於一秒好幾十..這還好,Linux 的 ping 一秒至少可以發出 100 次,所以一秒幾十..一個小規模入門攻擊一秒也要好幾萬吧?
以下是 BIND DNS performance 測試,供參考:
https://lists.isc.org/pipermail/bind-users/2001-June/029454.html
請注意上述是一個 2001 年的測試,一秒鐘就能處理好幾千個查詢...)
http://www.dell.com/downloads/global/solutions/dns\_performance0109.pdf
這是 2009 年 DELL 的測試,基本上每秒已達 2~3 萬個查詢。

我要發表回答

立即登入回答