当前位置: 首页 > 系统与网络 > 正文

近期观测到某台设备的某接口上行流量异常,该接口平时几乎无流量。在防火墙中查看活动的连接,发现几乎全部都是UDP 53端口的请求,通过截取该接口的数据包发现,TCP数据包几乎没有,而UDP数据包却占了几乎全部。UDP数据包中,印证了防火墙中看到的情况,有许多远程接口疯狂发起DNS请求,查询一个名为cpsc.gov的政府机构网站。

DNS请求全部来源于外网请求,通过检查设置,发现ROS的DNS设置中开启了Allow Remote Requests,允许远程请求的勾选选项。由于外网的IP太多,除了做白名单外似乎又没什么很好的办法(学那啥?转发外网请求UDP 53端口到不存在的地址?测试可行。),每个IP封禁还浪费系统资源,而该设置功能也几乎用不到。关闭之~

接口流量异常:
graph-1

可以看到大量的DNS请求。
ddos cpsc.gov -1

UDP数据包占了几乎全部。
ddos cpsc.gov -2

数据包内容:
ddos cpsc.gov -3

测试下,确实该IP允许被远程DNS查询。
dig

关闭。
dig

[分享]ROS开启Allow Remote Requests可能存在被DDoS攻击的风险:等您坐沙发呢!

发表评论