大家好,
我上个月感到惊讶的是,我的EC2实例(ubuntu精确服务器),应该在免费套餐之下,仍然积累了大量的流量……今天,在检查我当前的账单时,我注意到我已经有了大量的流量,虽然还在月中,我担心到月底我的账单会是什么……
我安装了带宽,几分钟后,我注意到很多UDP流量到“108.162.233.15”.这显然是一个cloudflare IP,我没有任何使用cloudflare的东西(据我所知).
所以我运行“iftop”来查看正在使用的端口,我看到UDP流量从端口80到我的端口53 …为什么网络服务器查询dns?
所以我停止在我的服务器上绑定,并在前台调试模式下运行它,并看到以下查询,连续重复:
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: UDP request 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: request is not signed 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: recursion available 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: send 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: sendto 17-Nov-2012 12:30:58.216 client 108.162.233.15#80: senddone 17-Nov-2012 12:30:58.217 client 108.162.233.15#80: next 17-Nov-2012 12:30:58.217 client 108.162.233.15#80: endrequest 17-Nov-2012 12:30:58.217 client @0x7fbee05126e0: udprecv 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: UDP request 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: request is not signed 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: recursion available 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved 17-Nov-2012 12:30:58.343 client 108.162.233.15#80: send 17-Nov-2012 12:30:58.344 client 108.162.233.15#80: sendto 17-Nov-2012 12:30:58.344 client 108.162.233.15#80: senddone 17-Nov-2012 12:30:58.344 client 108.162.233.15#80: next 17-Nov-2012 12:30:58.344 client 108.162.233.15#80: endrequest
我的问题是……这是正常的吗?我应该担心吗?或者这与我的数据费用完全无关,我应该等待看到带宽更多的数据?
先感谢您.
它看起来我的服务器正在用于DNS放大攻击.
我不知道亚马逊EC2的定价模式,但如果这个流量没有计算,我会感到惊讶.
我不知道亚马逊EC2的定价模式,但如果这个流量没有计算,我会感到惊讶.
它的工作原理如下:
有人使用欺骗性IP 108.162.233.15向您的服务器发送DNS查询.
您的服务器将此查询应答给真正的受害者 – 108.162.233.15.
查询非常小,但答案很大(请查看dig -t ANY isc.org).
真正的问题是,为什么您的服务器会回答这些问题?
您是否有意为每个人使用公共递归DNS?
如果没有,则需要禁用递归或将其限制为可信/已知客户端(递归否;以及allow-query-cache {none;};).