ansible attacco UDP su BIND?

Ciao a tutti,

Sono rimasto sorpreso lo scorso mese quando la mia istanza EC2 (server ubuntu preciso), che dovrebbe essere sotto il livello libero, ha accumulato un sacco di traffico … oggi, mentre controllavo la mia dichiarazione di fatturazione corrente, ho notato che ho già tonnellate di traffico , mentre ancora a metà del mese, e temo che il mio disegno di legge entro la fine del mese sarà …

ho installato la width di banda e dopo pochi minuti ho notato un sacco di traffico UDP a "108.162.233.15". questo è apparentemente un cloudflare IP, e non ho nulla che utilizza cloudflare (per quanto ne so).

così ho eseguito "iftop" per vedere quali porte sono state usate e ho visto il traffico UDP proveniente dalla port 80 al mio port 53 … perché un server web potrebbe chiedere dns?

così ho smesso di bind sul mio server e l'ho eseguito in modalità di debug in primo piano e ho visto la seguente query, ripetutamente in continuazione:

17-Nov-2012 12:30:58.216 client 108.162.233.15#80: UDP request 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: request is not signed 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: recursion available 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: send 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: sendto 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: senddone 17-Nov-2012 12:30:58.217 client 108.162.233.15#80: next 17-Nov-2012 12:30:58.217 client 108.162.233.15#80: endrequest 17-Nov-2012 12:30:58.217 client @0x7fbee05126e0: udprecv 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: UDP request 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: request is not signed 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: recursion available 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: send 17-Nov-2012 12:30:58.344 client 108.162.233.15#80: sendto 17-Nov-2012 12:30:58.344 client 108.162.233.15#80: senddone 17-Nov-2012 12:30:58.344 client 108.162.233.15#80: next 17-Nov-2012 12:30:58.344 client 108.162.233.15#80: endrequest 

la mia domanda è … è normale? dovrei essere preoccupato? o è questo completamente irrilevante per i miei costi di dati e dovrei aspettare di vedere più dati dalla width di banda?

Grazie in anticipo.

One Solution collect form web for “ansible attacco UDP su BIND?”

Mi sembra che il tuo server sia utilizzato in un attacco di amplificazione DNS.
Non so il model di tariffazione di Amazon EC2, ma sarei sorpreso se questo traffico non fosse contato.

Funziona così:
Qualcuno sta inviando una query DNS al tuo server con il spoofed IP 108.162.233.15.
Il tuo server risponde a questa domanda alla vera vittima – 108.162.233.15.
La query è piuttosto piccola, ma la risposta è abbastanza grande (controllare dig -t ANY isc.org ).

La vera domanda è, perché il tuo server risponda a queste query?
Stai intenzionalmente eseguito un DNS ricorsivo pubblico per tutti?

In caso contrario, è necessario distriggersre la ricorsione o limitarla ai client attendibili / noti ( recursion no; e allow-query-cache {none;}; ).

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.