我最近发现我的服务器被用作 DNS DDOS 的一部分。基本上,我的 BIND 设置允许递归,它用于使用 IP 欺骗攻击某个 IP 地址。
我采取了必要的措施来阻止这种情况,并禁用了递归。我不再是一个放大器,我想这解决了大问题,但我仍然收到大量的查询,而 BIND 对所有这些查询都回复“拒绝”。
我只是想知道我还能做些什么。我想我可以配置 fail2ban 来阻止它们,做一些类似于Debian 推荐的事情,但根据其他网站和合理的逻辑,这并不理想,因为攻击者可以轻易地让我阻止任何 IP 访问我的服务器。
那么还能做什么呢?还是我应该等待攻击者放弃?还是希望他们重新扫描并将我作为扩音器除名?
基本上,链接文章中描述的 fail2ban 设置将防火墙修改为 DROP(在有限的时间内)来自不允许查询您的 DNS 服务器的源 IP 的传入 DNS 查询。不错的主意,但如果您不为互联网的一个或多个域提供权威 DNS,那么为什么不忘记 fail2ban,并完全删除所有来自互联网的传入 DNS 查询?
如果您运行的是权威 DNS 服务器,那么不幸的是,您无法忽略 DNS 查询。在那种情况下,我认为您别无选择,只能保持原样(关闭递归),并耐心等待传入的欺骗流量逐渐减少。能够将绑定自身配置为静默忽略配置为不回答的查询肯定会很好,但我认为它没有该功能。(毕竟,这种行为在技术上会违反 DNS 协议。)Fail2ban 确实提供了某种替代方案,但正如您所指出的,它并不理想。