我需要你们的帮助.

我正在为服务器使用大量公共IP,这些服务器只打开一个服务端口.并且还使用L3开关进行负载平衡. (我用它们用于EXDNS,Pulic-web等)

在这个周围,我发现一些数据包来自许多公共IP,53端口到我的公共IP与任何端口,而不是我正在使用的端口.并且域名是xxxx.x99m​​oyu.net(域的最低部分是随机更改的.)这是ACK数据包并包含用于查询的127.0.0.1答案.但是我们的服务器永远不会为这些域发送DNS查询.我得到的其中一个包就是

* ————————————————- —————–

IPv4,Src：171.125.150.23,Dst：112.x.x.x(我的ip)
UDP,Src端口：53,Dst端口：54162
域名系统(响应)
问题：1
回答RR：1
查询：tnczmz.x99m​​oyu.net：输入A,类IN
答案：tnczmz.x99m​​oyu.net：类型A,类IN,地址127.0.0.1
————————————————– —————— *

当我第一次看到这些数据包时,请写一篇关于DNS放大攻击的文章.使用互联网上的DNS服务器和src.ip的公共IP,然后我的服务器将从DNS服务器获得许多应答包.但目标太宽而不能成功进行此次攻击,因为超过200台服务器获得了这些数据包,而每台服务器只获得了3-5 dns的响应.

所以,如果有人有类似的经历或知道它发生的原因,请告诉我.谢谢.

如果远程数据包的源端口为53,通常情况就是以下四种情况之一：

>您获得了之前由具有侦听端口53的设备使用的IP地址,并且过去了解它的设备仍在尝试使用它. (可能是权威服务器或开放解析器)
>您的设备正在参与攻击.
>正如您所怀疑的那样,这些数据包会被反射到您身上,您就是攻击的目标.
>这些数据包正在反映到您身上,您不是攻击的目标.您的IP恰好是他们伪造的那个.

很多人误以为#1是对他们服务器的攻击(#3).您必须查看要测量的传入流量,并且由于您没有抱怨您的带宽因此而受阻,因此不太可能.让我们排除#3.

我们的下一个提示是查询名称：tnczmz.x99m​​oyu.net.在过去的几年中,已经运行大容量递归DNS服务器的任何人都熟悉这样的名字(并且一直在关注)：这是一个“Pseudo Random Subdomain” aka “Water Torture” attack.我不会在这里详细介绍详细信息,但这个想法是产生数千个域下的不可缓存的随机查询,以便将所有请求发送到该域的名称服务器,这是攻击的真正受害者.在这种情况下,他们是Cloudflare的名称服务器：

$dig +short x99moyu.net NS
darwin.ns.cloudflare.com.
uma.ns.cloudflare.com.

由于我非常确定您不是Cloudflare的服务器管理员,因此我们现在需要考虑数据包的方向以排除#1.这是我们必须要做的事情：

>资料来源：171.125.150.23(中国)
>源端口：53
>目的地：您的服务器
>目的地港口：随机

中文IP正在向您发送DNS回复数据包.我们知道他们是回复数据包,因为它们包含DNS回答部分.由于您或此远程IP都不属于Cloudflare(其名称服务器管理域),因此我们可以假设其中一个IP是欺骗性的.鉴于攻击的受害者(Cloudflare)以及攻击如何运作,这里最可能被欺骗的地址是你的.这将使中文IP成为接收递归查询的服务器.

我的结论是,你既不是攻击的目标,也不是参与攻击的目标(通常情况下,你很幸运).这是#4的情况：您的源IP在执行针对Cloudflare的攻击时作为其他人的一部分而被欺骗.

事后看来,#2仍有可能.即使持有IP的服务器不提供DNS侦听器,您的服务器也可能会受到攻击并运行生成查询的恶意软件.当然,这假设您的数据包捕获忽略了出站查询. (我突然意识到假设这会被注意到是不好的)

我试图更好地理解DNS,但我仍然没有完全获得A和NS记录.

据我所知,A记录告诉哪个IP地址属于(子)域,到目前为止我仍然清楚.但据我所知,NS记录告诉哪个名称服务器点属于(子)域,并且该名称服务器应该告诉哪个IP地址属于(子)域.但是,这已在同一DNS文件中的A记录中指定.那么有人可以向我解释NS记录和名称服务器究竟做了什么,因为我可能理解错误.

编辑：据我所知,NS记录告诉您要找到具有某个域的A记录的DNS服务器,A记录会告诉您哪个IP地址属于某个域.但是将A和NS记录放在同一个DNS文件中的用途是什么？如果某个域已有A记录,那么为什么需要指向另一个DNS服务器,这可能会给你相同的信息呢？

虚构的foo.com区域文件中的一些示例

....... SOA record & lots more stuff .......
 foo.com.      IN        NS        ns1.bar.com.

 foo.com.      IN        A         192.168.100.1
 ....... More A/CNAME/AAAA/etc. records .......

记录=“名为foo.com的主机位于地址192.168.100.1”NS Record =“如果您想了解foo.com区域中的主机,请询问名称服务器ns1.bar.com”

我看到了这个CNAME记录的例子,但我不知道会返回什么IP而找不到答案.

我正在寻找pc2.an.example.com的IP和an.example.com的邮件服务器

区域文件example.com：

example.com. IN SOA...

example.com. 1800 IN NS ns1.example.com

an.example.com. 1800 IN NS ns1.an.example.com

ns1.example.com. 1800 IN A 12.34.56.78

ns1.an.example.com. 1800 IN A 123.45.67.1

区域文件an.example.com：

an.example.com. IN SOA...

an.example.com. IN NS ns1.an.example.com

ns1.an.example.com. 1800 IN A 123.45.67.1

an.example.com. MX 10 pc2.an.example.com

pc1.an.example.com. 1800 IN A 123.45.67.2

pc2.an.example.com 1800 IN A 23.45.67.89 

pc2 CNAME pc1.an.example.com.

那么pc2和邮件服务器将返回哪些IP？我的第一个想法是CNAME会被忽略,因为pc2有一个带有完整IP的“A”记录,但是我注意到pc2.an.example.com末尾没有点,也许这有效,因为地址相对吗？

谢谢你的帮助！

你会得到：

an.example.com. IN MX 10 pc2.an.example.com

pc2.an.example.com. IN CNAME pc1.an.example.com.
pc1.an.example.com. IN A 123.45.67.2

>不存在具有CNAME的A或AAAA等其他资源记录.他们会被忽视.>没有点的pc2.an.example.com等于pc2.an.example.com.an.example.com. IN A 23.45.67.89目前是.

好吧,我不得不承认我对DNS的运作方式感到困惑.我总是在他们工作之前添加东西,现在是时候了解它们是如何工作的.

因此,令我感到困惑的是,我可以记录两个地方.我有一个机架式云服务器帐户.然后是我注册域名的地方.但两者都允许我编辑DNS记录.

我应该在两个地方做一切,还是比另一个更好,还是我错过了重点？

子域名也让我感到困惑.我希望能够只拥有一个通配符子域(我以前就这样做了.)我不喜欢每次需要新的子域时添加cname记录或A记录的想法.

然后我读了this,它说：

The exact rules for when a wild card will match are specified in RFC 1034,but the rules are neither intuitive nor clearly specified. This has resulted in incompatible implementations and unexpected results when they are used.

您需要做的第一件事是确定谁实际为您的域名提供权威答案. WHOIS查找将告诉您哪些DNS服务器应该进行更改.

一旦确定,请在列出的提供程序中进行更改,并删除其他所有内容,以避免将来出现任何混淆.

关于通配符和主机名,做任何你喜欢的事情.通常,大多数DNS实现将查找已明确定义的主机名(即指向特定IP地址的A记录),如果未找到,则将返回到通配符.就个人而言,我更喜欢单独定义每个记录.通过这种方式,我可以毫无疑问地知道我拥有什么以及它在哪里.如果你有300个主机名都需要去同一个地方并且它们一直在变化,那么通配符就会很棒.如果你只有一些主机名并且它们不经常更改,我会选择单独设置它们.

如果您有十几个主机名都需要转到同一个IP,您可以将其中一个定义为A记录,并将其余的CNAME别名设为第一个.这样,您只需要更新一次该IP地址.

有人可以通知,请对这两种方法的差异和优缺点作出冗长的答复吗？

我不是DNS专家,不是程序员.我对DNS有一个很好的基本理解,并且有足够的知识来理解kaminsky bug之类的工作原理.根据我的理解,DNSCurve具有更强的加密功能,设置起来更简单,并且是一个更好的解决方案.

DNSSEC不必要地复杂并且使用可破坏的加密,但是它提供了端到端的安全性,而DNSCurve则没有.但是,我读过的很多文章似乎都表明端到端的安全性没有什么用处,也没什么区别.

那么这是真的吗？哪个是更好的解决方案,或者每个的缺点/优势是什么？

编辑：

如果有人可以解释通过加密消息内容获得的内容,当目标是身份验证而不是机密性时,我将不胜感激.

密钥是1024位RSA密钥的证据是here.

DNSCurve为DNS数据包提供实际加密,虽然只是逐跳,特别是在递归服务器和权威服务器之间的跳跃上.

在该路径上使用时,它可以提供区域数据的身份验证.但是,下游的任何客户端都无法从此身份验证中受益,因为安全性只是“逐跳”.位于解析路径中间的恶意解析器仍然可以提供错误数据.

另一方面,DNSSEC提供端到端可验证的加密签名,证明收到的数据与权威服务器上的数据相同. DNSSEC使用加密技术,但实际上并不加密任何DNS流量.

DNSCurve使用椭圆曲线加密算法允许使用比使用RSA小得多的密钥来实现相同级别的加密强度.但是,有人建议在DNSSEC假定的列表中包含类似的算法.

DNSSEC由IETF(RFC 4034和RFC 4035,由RFC 5155更新)标准化,并在几个非常流行的名称服务器实现中实现,包括BIND(当然)和NSD / Unbound. PowerDNS很快将获得DNSSEC支持.

DNSSEC无疑是复杂的,但正在努力简化这一过程(参见例如http://opendnssec.org/),并且部署总是在增加.各种顶级域名(.se,.br,.org,.gov等)已经与DNSSEC签署,并且已宣布根区域将在年底前签署DNSSEC.

DNSCurve非常有趣,但由于其开发的独立方式,它几乎没有机会看到任何重要的部署.恕我直言,它没有机会部署在根服务器上.

BTW你使用“易碎加密”关于DNSSEC的断言似乎是完全没有根据的.在什么基础上你这么说？

区域签名密钥通常(但不一定)1024位长.这些密钥通常每个月左右滚动一次,目前最好的估计是至少需要几年到brute force一个1024位密钥.

At this point in time a brute-force attack against 1024-bit RSA
would require about two years on a few million compute cores with many tens of gigabytes
of memory per processor or mainboard

这不完全是您典型的僵尸网络.从同一篇论文：

Next considering special purpose hardware,the most optimistic approach suggests that sieving
for a 1024-bit RSA modulus can be done in a year for about US $10,000,plus a one-time
development cost of about US $20,and with a comparable time and cost for the
matrix. In our opinion,(common) skepticism met by such designs is beside the point.
Such figures should not be interpreted as upper bounds,i.e.,“Be careful,1024-bit RSA can
be broken in two years for about twenty million bucks (assuming free development),” but as
lower bounds,“No reason to worry too much: even under very favorable attack conditions,factoring a 1024-bit RSA modulus still requires enormous resources.” The estimates should thus not be read as threatening but as confidence-inspiring.

或者从一岁的PCPro article：

To put that into perspective,to crack an RSA 1,024-bit key Kaspersky estimates it would take something like 15 million computers running flat out for a year to succeed

坦率地说,没有人会投入大量精力来破解一个域名的ZSK！

此外,真正的安全性在密钥签名密钥中,并且通常至少为2048位且通常更长(4096位).破解RSA密钥所花费的时间量随密钥长度呈指数增长,而不是线性增长.