Рейтинг:0

Как найти локальных DNS-атак на машине с Linux?

флаг cn

На сервере общего хостинга (centos8) размещены тысячи веб-сайтов. Все они используют одну службу DNS, работающую как локальный рекурсивный преобразователь (BIND 9).

Мы наблюдаем случайные события перегрузки без явного виновника.

Одна из гипотез состоит в том, что какой-то веб-сайт (пользователь unix) атакует локальный преобразователь DNS.

В контексте локально работающего демона привязки, как лучше всего заставить его регистрировать не только DNS-запрос, но и пользователя unix, который его отправил? Это вообще возможно?

Nikita Kipriyanov avatar
флаг za
Через журналы BIND нет. Лучшее, что он будет регистрировать, это номер исходного порта, который бесполезен. Лучше попробуйте использовать подсистему *аудита* для записи того, кто создавал сокеты. Начните искать здесь: https://unix.stackexchange.com/questions/30046/logging-outgoing-connections-as-they-happen
флаг cn
@NikitaKipriyanov спасибо, попробую.
Рейтинг:0
флаг in

Вы можете попробовать запустить DNStop на своем рекурсивном поле. Он с первого взгляда четко определит, есть ли у вас клиенты, злоупотребляющие вашим сервисом. Это может быть проще, чем просмотр журналов, особенно если вы берете значительный объем трафика.

Вы сможете легко найти DNStop в репозиториях EPEL и установить его.

более подробную информацию об этом отличном инструменте можно найти здесь: http://dns.measurement-factory.com/tools/dnstop/

флаг cn
К сожалению, похоже, что это может отображать только IP-адрес источника, а не идентификатор пользователя unix. В моей ситуации преобразователь работает на той же машине, что и DNS-клиенты.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.