收到通知我的服务器参与"DNS放大攻击“。我怎么能停下来？

Question

我刚收到一封来自我的网站互联网提供商的电子邮件，我的服务器在过去几周中一直作为开放解析器参与DDoS攻击(DNS反射)。

这是完整的电子邮件：

主题: DNS放大攻击亲爱的先生或女士，我们收到了垃圾邮件/滥用通知。请采取必要步骤，防止今后再次发生这种情况。此外，我们还请你在24小时内向我们和提交本申诉的人提供简短的陈述。这个纹身应该包括事件的细节和你正在采取的措施来处理它。下一步：-解决问题-把你的陈述发送给我们-把你的陈述发送给每封电子邮件投诉的人，细节将由同事检查，他将协调进一步的程序。如果发生几次投诉，这可能会导致服务器被锁定。-附件请参阅您网络范围内打开的DNS服务器的IP地址的此邮件附件。-日志文件-受影响的IP: 176.9.1.67谢谢

我能做些什么来证实这一点并确定这次袭击的起因？

谢谢生态

Answer 1

您无法识别攻击的来源--您的DNS服务器正在接收的数据包来自伪造的源地址。

基本上，攻击者正在向您的DNS服务器发送带有伪造源地址的数据包。他们问它的问题，这将导致它发送大量的答复。要使用您的DNS服务器作为攻击工具，攻击者将欺骗他们想要淹没垃圾通信量的主机的源地址，并指示大量DNS服务器(就像您的服务器一样)用虚假的响应轰炸该主机。您的DNS服务器本身没有受到破坏或做错任何事情，但是您不应该允许DNS服务器向Internet发送这些对任意问题的大型响应。

基本上，您需要重新配置DNS服务器，以避免向Internet提供递归解析服务。您的DNS服务器只应回答其权威域的请求。