Làm cách nào để tìm những kẻ tấn công DNS cục bộ trên máy Linux?

Ján Lalinský

19:23, 29/10/2022

Trên một máy chủ lưu trữ được chia sẻ (centos8), hàng ngàn trang web được lưu trữ. Tất cả đều sử dụng dịch vụ DNS duy nhất chạy dưới dạng trình phân giải đệ quy cục bộ (BIND 9).

Chúng tôi quan sát các sự kiện quá tải ngẫu nhiên mà không có thủ phạm rõ ràng.

Một giả thuyết là một số trang web (người dùng unix) đang tấn công trình phân giải DNS cục bộ.

Trong bối cảnh daemon liên kết đang chạy cục bộ, cách tốt nhất để làm cho nó ghi lại không chỉ truy vấn DNS mà còn cả người dùng unix đã gửi nó là gì? Nó thậm chí có thể?

1 + 2

linux

gentoo

Nikita Kipriyanov

19:46, 29/10/2022

Thông qua nhật ký BIND, không. Điều tốt nhất mà nó sẽ ghi là số cổng nguồn, điều này là vô ích. Tốt hơn hãy thử sử dụng hệ thống con *audit* để ghi lại ai đang tạo ổ cắm. Bắt đầu xem tại đây: https://unix.stackexchange.com/questions/30046/logging-outgoing-connections-as-they-happen

Hồi đáp

Ján Lalinský

19:53, 29/10/2022

@NikitaKipriyanov cảm ơn, tôi sẽ thử.

Hồi đáp

Điểm:0

Server

t3ln3t

05:40, 30/10/2022

Bạn có thể xem xét việc chạy DNSstop trên hộp đệ quy của mình. Nó sẽ xác định rõ ràng nếu bạn có khách hàng lạm dụng dịch vụ của bạn trong nháy mắt. Có thể dễ dàng hơn việc quan sát nhật ký, đặc biệt nếu bạn đang chiếm một lượng lớn lưu lượng truy cập.

Bạn sẽ có thể tìm thấy DNStop trong kho EPEL và cài đặt dễ dàng.

thông tin thêm về công cụ tiện lợi này có thể được tìm thấy ở đây: http://dns.measurement-factory.com/tools/dnstop/

0 + 1

Ján Lalinský

12:37, 30/10/2022

Thật không may, điều này dường như chỉ có thể hiển thị địa chỉ IP của nguồn chứ không phải id người dùng unix. Trong tình huống của tôi, trình phân giải chạy trên cùng một máy với máy khách DNS.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to find local DNS attackers on Linux machine?

TH: จะค้นหาผู้โจมตี DNS ในเครื่องบนเครื่อง Linux ได้อย่างไร

RO: Cum să găsiți atacatorii DNS locali pe mașina Linux?

RU: Как найти локальных DNS-атак на машине с Linux?

VI: Làm cách nào để tìm những kẻ tấn công DNS cục bộ trên máy Linux?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.