Score:0

จะค้นหาผู้โจมตี DNS ในเครื่องบนเครื่อง Linux ได้อย่างไร

ธง cn

บนเซิร์ฟเวอร์โฮสติ้งที่ใช้ร่วมกัน (centos8) เว็บไซต์หลายพันแห่งถูกโฮสต์ไว้ พวกเขาทั้งหมดใช้บริการ DNS เดียวที่ทำงานเป็นตัวแก้ไขแบบเรียกซ้ำในเครื่อง (BIND 9)

เราสังเกตเหตุการณ์การโอเวอร์โหลดแบบสุ่มโดยไม่มีผู้กระทำผิดที่ชัดเจน

สมมติฐานหนึ่งคือบางเว็บไซต์ (ผู้ใช้ยูนิกซ์) กำลังโจมตีตัวแก้ไข DNS ในเครื่อง

ในบริบทของการรัน bind daemon แบบโลคัล วิธีใดดีที่สุดในการทำให้บันทึกไม่เพียงเฉพาะการสืบค้น DNS แต่ยังรวมถึงผู้ใช้ยูนิกซ์ที่ส่งมาด้วย เป็นไปได้ไหม?

Nikita Kipriyanov avatar
za flag
ผ่านบันทึก BIND หมายเลข สิ่งที่ดีที่สุดที่จะบันทึกคือหมายเลขพอร์ตต้นทางซึ่งไม่มีประโยชน์ ควรลองใช้ระบบย่อย *audit* เพื่อบันทึกว่าใครสร้างซ็อกเก็ต เริ่มดูที่นี่: https://unix.stackexchange.com/questions/30046/logging-outgoing-connections-as-they-happen
cn flag
@NikitaKipriyanov ขอบคุณ ฉันจะลองดู
Score:0
ธง in

คุณอาจดูการเรียกใช้ DNStop บนกล่องเรียกซ้ำของคุณ มันจะระบุอย่างชัดเจนว่าคุณมีลูกค้าที่ใช้บริการของคุณในทางที่ผิดหรือไม่ อาจง่ายกว่าการสังเกตบันทึก โดยเฉพาะอย่างยิ่งหากคุณรับปริมาณข้อมูลจำนวนมาก

คุณควรจะพบ DNStop ในที่เก็บ EPEL และติดตั้งได้อย่างง่ายดาย

ข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือที่ดีนี้สามารถพบได้ที่นี่: http://dns.measurement-factory.com/tools/dnstop/

cn flag
น่าเสียดายที่ดูเหมือนว่าจะสามารถแสดงได้เฉพาะที่อยู่ IP ของแหล่งที่มา ไม่ใช่รหัสผู้ใช้ยูนิกซ์ ในสถานการณ์ของฉัน ตัวแก้ไขทำงานบนเครื่องเดียวกับไคลเอ็นต์ DNS

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา