情形

最近刚上线了dnslog平台,突然有一天,查看log,发现有6w多条记录,查看发现全都是RRSIG查询pizzaseo的请求,(后续用披萨指代该域名)。

分析

RRSIG

RRSIG是dnssec中的资源记录签名[1]。简单理解就是类似签名,可以用来验证接收到的记录有没有被修改。

情况分析

服务器记录显示,每秒约有10-20次的查询,这个进来的流量其实没有多大,但是由于服务器性能和程序写法简单,导致服务器根本扛不住。只能临时关掉了dns查询。

谁是受害者

本服务器是目标吗?显然不是,因为流量太小了。
那披萨是目标吗?有可能。网上搜索,发现2020年5月28日也有人遭遇了同样的问题[2]。大量rrsig请求,打了快一年了。

UDP DOS

看起来这是基于udp的dos攻击,查看cisa关于udp放大攻击的文章[3],dns的放大系数在28到54。因为udp请求源地址可以伪造,可以造成服务器返回包直接返回给伪造的地址,造成dos攻击。那这样,攻击的有可能是src对应的ip地址。由于dns服务暂时关闭,我们可以使用nc查看,nc -luvp 53 可以看到有流量进来,其中的源端口,有80,有443,并且查看源ip的威胁情报,有部分ip被标记为恶意ip。源ip也可能是受害者。 或者使用tcpdump -i eth0 udp -n查看。

还有一种说法是利用dns递归查询去查询上游服务器。但这种没有必要,udp本身可以伪造源,不需要经过中间一层,并且也没有放大系数。

那综合下来,源ip更可能是受害者,只不过这个目标有点多。

更早的记录

其实在之前的记录中,就发现有不少扫描。有探测披萨域名的,还有另外几个域名。另外就是有不少扫描的。所以有可能是之前探测之前,把这台服务器当作了一个反射节点了。看看过几天之后会不会被删掉。

后续

一个多星期了,流量还在进来。不过已经使用iptables规则给drop掉了。

iptables -A INPUT -p udp --dport 53 -m string --algo bm  --hex-string "|08|pizzaseo" -j DROP

感想

全网扫描的能力起来之后,现在的扫描和探测流量真是多。另外还有一点,就是“不要回复”。

引用

  1. rrsig
  2. rrsig 披萨
  3. UDP-Based Amplification Attacks
  4. dnssec baf