近期观测到某台设备的某接口上行流量异常,该接口平时几乎无流量。在防火墙中查看活动的连接,发现几乎全部都是UDP 53端口的请求,通过截取该接口的数据包发现,TCP数据包几乎没有,而UDP数据包却占了几乎全部。UDP数据包中,印证了防火墙中看到的情况,有许多远程接口疯狂发起DNS请求,查询一个名为cpsc.gov的政府机构网站。
DNS请求全部来源于外网请求,通过检查设置,发现ROS的DNS设置中开启了Allow Remote Requests,允许远程请求的勾选选项。由于外网的IP太多,除了做白名单外似乎又没什么很好的办法(学那啥?转发外网请求UDP 53端口到不存在的地址?测试可行。),每个IP封禁还浪费系统资源,而该设置功能也几乎用不到。关闭之~
接口流量异常:
可以看到大量的DNS请求。
UDP数据包占了几乎全部。
数据包内容:
测试下,确实该IP允许被远程DNS查询。
关闭。
mumusnow:
kexinlh:
sakar:
thxg321:
xxj100743:
hello.jason:
qijianjiang:
[分享]ROS开启Allow Remote Requests可能存在被DDoS攻击的风险:等您坐沙发呢!