چطوری جلوی ارسال Queryهای ناخواسته رو در DNS Server بگیرم؟
سلام و خسته نباشید
من یه Public DNS Server دارم که روی ویندوز هست و مشکلی که دارم اینه وقتی مانیتور میکنم با Resource monitor خود ویندوز، یه سری سایت یا آیپی هایی کلا در حال ارسال و send هستن و این Query ها از یه سری آیپی یا وب سایت با آدرس هایی که توی عکس دارید میبینید میان که گاهی خیلی زیاد میشن و کل پهنای باندم رو مصرف میکنن که من توی فایر وال ویندوز بلاک میکنم که مشکل حل میشه و همیشگی نیست این مشکل اما گاهی خیلی زیاد و آزاد دهنده میشه. تقریبا تمام این سایت ها و آیپی ها توی حداقل چنتا بلک لیست هستن.
کسی با توجه به عکس هایی که فرستادم میدونه مشکل از چیه.
من گزینه Disable recursion رو روی DNS فعال کردم ولی نتیجه نگرفتم.
ممنون از کمکتون
لینک عکس ها:https://1drv.ms/u/s!AnFMy8z4_r1DbHeA9l2IAdk4NS0?e=14UxCn
https://1drv.ms/u/s!AnFMy8z4_r1DbHeA...k4NS0?e=BFh1jF
https://1drv.ms/u/s!AnFMy8z4_r1DajSv...o8HiY?e=EFyxhn
لینک فایل لاگ دی ان اس:
https://1drv.ms/t/s!AnFMy8z4_r1DboqZKdjjqyt1uRQ?e=apknUw
10 پاسخ
من روی فایروال خودم پورت 53 رو روی inbound بستم و مشکل حل شد و از شما سپاسگذارم بابت راهنمایی که کردید.
فقط متوجه نشدم من الان با اختلال ممکنه روبرو بشم و چه آیپی رو عوض کنم؟
مهندس عزیز.
احتمالا حمله ای که داره اتفاق میوفته DNS Amplification Attack هست. مهاجم بسته های UDP به DNS شما میفرسته (Requests) در نتیجه ترافیک و پهنای باند شمارو درگیر میکنه.
زمانی که شما یک DNS Server توی اینترنت قرار دادی تا IP سرورهات Resolve بشن با بستن پورت یا بلاک کردنش توی فایروال عملا دسترسی تمامی کسانی که تو اینترنت هستن رو به سرور خودت قطع میکنی. در نتیجه کلاینت های توی اینترنت نمیتونن متوجه IP سرورهات بشن چون DNS رو شما بلاک کردی.
زمانی که DNS Server شما تنها برای Resolve کاربران خودتون (داخل سازمان) باشه اینکار جواب میده وگرنه با سناریو شما به مشکل بر میخورید.
Recursion که کلا غیر فعال هست و یعنی کلا برم روی چیزی مثل cloadflare ولی پوت رو بسته نگهدارم توی فایروالم؟
اگر با ISP همون جایی که سرور رو گرفتم صحبت کنم میتونن کاری کنن؟
ینی الان من داره بهم حمله DNS Amplification Attack میشه البته من خیلی وقته این مشکل رو دارم چندین ماهه
میشه خواهش کنم بهم بگید دقیقا باید چیکار کنم الان چون خیلی درگیر این مشکل شدم و استرس زا شده برام
چندتا راه حل به نظرم میرسه.
از DNS Server داخلی استفاده نکنید. از DNS ای که توی Cloud هست استفاده کنید.
یا IP ای که DNS Server داره رو تغییر بدید و Recursion رو هم غیر فعال کنید.
اختلال ایجاد میشه.
به نظرم IP رو تغییر بدید و Recursion هم غیر فعال بمونه.
سلام
چه اتفاقی داری میفته اگر زحمتی نیست ممنون میشم راهنمایی کنید من رو.
اگر من پورت 53 رو روی فایروالم ببندم درست نمیشه؟
سوال بعدی اینکه روی Inbound باید بسته بشه یا Outbound?
مرسی وقت گذاشتید
سلام
زمانی که کلاینت داخلی به سرور DNS شما درخواست میده، از سمت ISP باید پورت UDP 53 رو به سمت IP شما بلاک کنن.
زنگ بزنید بهشون اطلاع بدید انجام میدن.
زمانی که از Disable recursion استفاده میشه تو اغلب موارد مشکلات برطرف میشه ولی احتمالا همچنان درخواست ها به سمت شما میاد. یعنی مهم نیست شما پورتی رو باز بذارید یا ببندید ترافیک از سمت ISP به سمت شما میاد در نتیجه ترافیکتون مصرف و پهنای باند اشغال میشه. اگه لاگ هارو نگاه کنید و Source بسته هایی که درخواستشون به سمت DNS Server شما میاد از اینترنت باشه یعنی این مشکل رو دارید. برای این موضوع بهتره که Connectionهای DNS ای که از سمت اینترنت به سمت DNS Server میاد رو ببینید. اگه تعدادش زیاده پس باید با ISP صحبت کنید.
پورت رو ببندن با توجه به اینکه من Public DNS Server دارم توی کار کردش اختلالی ایجاد نمیکنه؟
چون سایت های من از DNS Server خودم استفاده میکنن برای سرویس دهی