Как найти локальных DNS-атак на машине с Linux?

Ján Lalinský

29.10.2022, 19:23

На сервере общего хостинга (centos8) размещены тысячи веб-сайтов. Все они используют одну службу DNS, работающую как локальный рекурсивный преобразователь (BIND 9).

Мы наблюдаем случайные события перегрузки без явного виновника.

Одна из гипотез состоит в том, что какой-то веб-сайт (пользователь unix) атакует локальный преобразователь DNS.

В контексте локально работающего демона привязки, как лучше всего заставить его регистрировать не только DNS-запрос, но и пользователя unix, который его отправил? Это вообще возможно?

1 + 2

линукс

Дженту

Nikita Kipriyanov

29.10.2022, 19:46

Через журналы BIND нет. Лучшее, что он будет регистрировать, это номер исходного порта, который бесполезен. Лучше попробуйте использовать подсистему *аудита* для записи того, кто создавал сокеты. Начните искать здесь: https://unix.stackexchange.com/questions/30046/logging-outgoing-connections-as-they-happen

Ответить

Ján Lalinský

29.10.2022, 19:53

@NikitaKipriyanov спасибо, попробую.

Ответить

Рейтинг:0

Server

t3ln3t

30.10.2022, 05:40

Вы можете попробовать запустить DNStop на своем рекурсивном поле. Он с первого взгляда четко определит, есть ли у вас клиенты, злоупотребляющие вашим сервисом. Это может быть проще, чем просмотр журналов, особенно если вы берете значительный объем трафика.

Вы сможете легко найти DNStop в репозиториях EPEL и установить его.

более подробную информацию об этом отличном инструменте можно найти здесь: http://dns.measurement-factory.com/tools/dnstop/

0 + 1

Ján Lalinský

30.10.2022, 12:37

К сожалению, похоже, что это может отображать только IP-адрес источника, а не идентификатор пользователя unix. В моей ситуации преобразователь работает на той же машине, что и DNS-клиенты.

Ответить

Admin

Этот вопрос на других языках:

EN: How to find local DNS attackers on Linux machine?

TH: จะค้นหาผู้โจมตี DNS ในเครื่องบนเครื่อง Linux ได้อย่างไร

RO: Cum să găsiți atacatorii DNS locali pe mașina Linux?

RU: Как найти локальных DNS-атак на машине с Linux?

VI: Làm cách nào để tìm những kẻ tấn công DNS cục bộ trên máy Linux?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.