DNS服务器被域的任何查询垃圾处理“。

Question

我有一个定制的DNS服务器，我注意到日志中充满了ANY类型的. (单点)域的查询，而不是www.example.com.或它可以处理的其他域。它不是递归的，只处理主要域的非常特定的子域，这些子域由商业DNS托管提供程序管理。

对于不是我的域，我根本不回答任何查询，因为我想避免被误用在DNS放大攻击中。如果情况不好，请纠正我。在此之前，我使用dnslib.RCODE.REFUSED (代码5)响应代码进行响应。

所以我不太确定这些是某种攻击还是正常发生的事情。它们的长度约为5-10秒，每秒大约有5-10个查询，每分钟发生几次。

由于我将这些查询存储在数据库中，所以我看到创建大多数查询的I都是来自AT&T的非常特定的I，然后是Comcast，尽管它们可能会被欺骗。

我该怎么处理这个？忽视它，因为我对它无能为力？它不会在服务器上造成任何明显的负载。

Answer 1

您应该忽略它们，直到它们因其规模而真正开始破坏您的服务器/网络。

否则，您可以在IP级别为您获得的IP源或特定DNS查询设置过滤器，但这很难正确执行，因为DNS数据包的构建方式很脆弱，而且可能会对无辜的旁观者产生副作用。

因此，现在来看一下存在于多个名称服务器中的速率限制(RRL)特性，比如bind。

还请注意，ANY查询现在已经过时。有关此主题的一些介绍，请参阅https://blog.cloudflare.com/deprecating-dns-any-meta-query-type/，以及https://blog.cloudflare.com/what-happened-next-the-deprecation-of-any/

IETF的标准现在是RFC 8482“对具有QTYPE=ANY的DNS查询提供最小大小的响应”。

摘要域名系统(DNS)指定查询类型(QTYPE) "ANY“。权威DNS服务器的操作员可能由于本地策略、出于动机的by安全、性能或其他原因而选择不响应此类查询。在这种情况下，DNS规范不包括对DNS服务器或客户端的行为的特定指导。本document旨在提供这样的指导。本文件更新RFCs 1034和1035。