遭遇攻击求助！！！

发布于 2022-10-03 07:36:41 字数 906 浏览 15 评论 0

client 218.63.105.166#10132: update 'abc.com/IN' denied: 1 Time(s)
client 218.63.105.166#10268: update 'abc.com/IN' denied: 1 Time(s)
client 218.63.105.166#10413: update 'abc.com/IN' denied: 1 Time(s)
client 218.63.105.166#10477: update 'abc.com/IN' denied: 1 Time(s)

请教：我司的WEB+DNS（linux+apache+bind9.2.1服务器收到大量如上的连接，造成线路堵塞,正常的页面请求无法得到响应。怀疑遭遇dos攻击。只得断掉这个ip的连接网络才恢复正常。
===============================================
在网上查到有类似的情况描述如下：
我不断地得到如下的日志信息，为什么？
Jun 21 12:00:00.000 client 10.0.0.1#1234: update denied
答：有人在尝试使用RFC2136动态更新协议来更新你的DNS数据。Windows 2000的机器有这样的习惯：无需事先配置就发送动态更新请求给DNS服务器。如果更新请求来自于Windows 2000机器，请参看<http://support.microsoft.com/support/kb/articles/q246/8/04.asp>; 以了解如何关闭它。

问题是：我怀疑这是不是bind 服务器的一个漏洞，因为我们没有办法控制网络上所有的windows2000机器。

不知各位有没有类似的遭遇，有没有什么解决办法。多谢！！

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

江心雾 2022-10-10 07:36:41

贴出你的named.conf的内容.或许有高手可以帮你,优化一下.....

回复收藏 0

一个人的旅程 2022-10-10 07:36:41

這是正常的事
如果頁面無法訪問,請先確定是否真為 dns 關係

我管 dns ,每天這種訊息數十萬筆...跟本看都不看的

回复收藏 0

痴骨ら 2022-10-10 07:36:41

这是我的named.conf文件，各位帮我看看有没有什么问题。多谢了！！！

options {
      directory "/var/named";
      forwarders{
            202.106.0.20;
            211.157.97.1;
      };
};
//
// a caching only nameserver config
//
      controls{
      inet 127.0.0.1 allow{
            localhost;
      }    keys{
            rndckey;
      };
};
key "rndckey"{
      algorithm hmac-md5;
      secret "XKEoiEHkdrUTkvhfIWpOOwdHZs0qJdOVyfOBPdcVQwWbfmNhFuZxbxLgaiEa";
};
zone "." {
      type hint;
      file "named.ca";
};
zone "localhost" in{
      type master;
      file "localhost.zone";
      allow-update{
            none;
      };
};
zone "abc.com.cn" {
      type master;
      file "abc.com.cn";
};
zone "abc.com" {
      type master;
      file "abc.com";
};
zone "clear.cn" {
      type master;
      file "clear.cn";
};

zone "0.0.127.in-addr.arpa" in{
      type master;
      file "named.local";
      allow-update{
            none;
      };
};
zone "100.168.192.IN-ADDR.ARPA" {
      type master;
      file "192.168.100";
};
zone "4.132.231.IN-ADDR.ARPA" {
      type master;
      file "231.132.40";
};
zone "18.6.112.211.IN-ADDR.ARPA" {
      type master;
      file "211.112.6.18";
};

回复收藏 0

淡笑忘祈一世凡恋 2022-10-10 07:36:41

allow-update{
none;
};
可以不要这个，如果你不允许客户端更新你的DNS数据库

回复收藏 0

呢古 2022-10-10 07:36:41

请教一下：这句的意思也应该是不允许客户端更新DNS数据库,那么删掉它的作用是什么呢？多谢！！！

allow-update{
none;
};

回复收藏 0

-柠檬树下少年和吉他 2022-10-10 07:36:41

删掉它应该出现update 'abc.com/IN' denied的机率就会相对少一些吧，没有试过，还烦abel兄和网老大解释一下

回复收藏 0

圈圈圆圆圈圈 2022-10-10 07:36:41

[quote]原帖由 "chenzq1604"]删掉它应该出现update 'abc.com/IN' denied的机率就会相对少一些吧，没有试过，还烦abel兄和网老大解释一下[/quote 发表：

allow-update 本來預設值就是 none, 所以以本例而言都是一樣的
至於訊息的產生來自於 Windows Client , 這種事我一天有幾十萬個訊息
,我們的 DNS 每秒查詢量數百,我都不 care 樓主有需要care 嗎 ?
如果你每秒的 update deny 有數十個百次,再來考慮如何解決吧

回复收藏 0

~没有更多了~