CC(CC@CERNET.EDU.CN)

CQ(QCHEN@CERNET.EDU.CN)

关于这种流量异常我们有2种解释

1.错误的配置

在DNS的配置选项中，有一项是关于转发的配置，这个配置的作用是当服务器不能对客户端的域名请求进行解析时，其请求都传递给了另一个DNS服务器，而另一台服务器的转发选项却是这台服务器，所以造成了环回，流量就会很大。

2.黑客入侵

2.1 在黑客入侵中，最大的元凶就是Ddos,根据分析，攻击者在进行DDoS攻击前总要解析目标的主机名。BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求，也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。也就造成了流量的增大。

2.2 或者是攻击者直接对您的DNS发起DOS攻击。

据我们分析，每次DNS查询的请求都会造成返回7~10倍于查询的流量，所以只要不断地对你的服务器进行查询可以导致域名服务器流量增大。

具体描述如下：

描述

------------------------------------------------------- 很多DNS服务器的缺省设置存在一个漏洞，可能导致拒绝服务攻击。如果一个域名服务器允许远程主机向它查询其他域(它本身并不管理这些域)的域名，就是所谓允许递归查询，就可能导致网络流量的异常增大。单个主机引起的流量增大可能并不能导致拒绝服务攻击的产生，但是利用DNS的分级方式的弱点，可能引发对单个站点的大量数据流量，阻塞正常的网络交通服务。

这个问题出在当域名服务器收不到某域权威服务器的域名解析应答时的处理方式上。当域名服务器接收到一个域名解析请求时，它往往会转发给上一级的DNS服务器.如果这个查询请求不能被解析，因为其权威域名服务器上没有启动DNS服务或是没有应答。每个转发的服务器将会试图自己解析，通常会重试三次（分别在0秒，12秒，24秒时）甚至更多。在这种情况下，该域名所在网络的流量就明显增大了。通过使用大量的域名服务器做这种查询，可能导致向目标网络发送大量数据,造成拒绝服务攻击。

攻击者也可利用这种漏洞来发现目标网络的域名查询的路线。

建议：

禁止来自其它主机的递归查询，只允许从信任主机或网络查询可以避免使你的主机成为这种攻击的工具。对于被攻击的主机，没有很容易的方法来使其免遭攻击。对于没有运行DNS服务器的主机,应过滤掉所有流向它们的53号端口的数据包。但这只能使这种类型的包不能到达防火墙后，这些包仍然会占用你的带宽。另一种可能的方法是，在正受攻击的主机上建立一个假的DNS server,对于所有的查询都应答一些虚假信息。

--------------------------------------------------------

缓解方法：

配制成只有信任主机才可以进行DNS查询：

具体方法如下：

下面是bind的配置文件named.conf中的部分重要参数：

acl "trusted" {192.168.0.0/24,192.168.0.0/16 }; ;这是一个IP集合，第一个是指一个C类网段，第二个是指一个B类网。trusted是这个集合的别名。

options {

directory "/var/named";

pid-file "named.pid";

recursion yes;

allow-recursion { trusted; };

这条是允许trusted的ip集合进行递归查询；

allow-transfer { trusted; };

这条是允许trusted的ip集合进行域名查询；

};