DNS Query.log – 用于ripe.net的多个查询

目前我运行一个DNS服务器(bind9),最近通过互联网处理来自客户端的查询,我注意到来自所有不同地址的数百个查询,看起来像这样(服务器IP被删除)

client 216.59.33.210#53: query: ripe.net IN ANY +ED (0.0.0.0) client 216.59.33.204#53: query: ripe.net IN ANY +ED (0.0.0.0) client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0) client 184.107.255.202#53: query: ripe.net IN ANY +ED (0.0.0.0) client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0) client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0) client 205.204.65.83#53: query: ripe.net IN ANY +ED (0.0.0.0) client 69.162.110.106#53: query: ripe.net IN ANY +ED (0.0.0.0) client 216.59.33.210#53: query: ripe.net IN ANY +ED (0.0.0.0) client 69.162.110.106#53: query: ripe.net IN ANY +ED (0.0.0.0) client 216.59.33.204#53: query: ripe.net IN ANY +ED (0.0.0.0) client 208.64.127.5#53: query: ripe.net IN ANY +ED (0.0.0.0) 

有人可以解释为什么有这么多的客户端查询成熟的.NET?

当DNS服务器被这样公开地configuration时,它在DNS放大攻击中被其他人滥用。 攻击者伪造DDOS目标的IP地址,并向像你这样的服务器发送大量小型查询(通常是ANYtypes)。

使用的是ANT.NY,因为它返回一个大的答案,因此放大了攻击者对目标的欺骗性查询的大小。

看起来像你想要的是禁用recursion或允许recursion到特定的IP地址(例如本地主机):

http://www.zytrax.com/books/dns/ch7/queries.html#allow-recursion

默认是允许任何人。