为什么dns相关的流量这么大，我的服务器被黑了吗？

Question

我有一个vps，上面有几个站点，通常除了我之外，很少有人访问这些站点，因此我对一个事实感到震惊，那就是我访问了vps提供商的门户，发现我使用了如此小的站点从未使用过的大量带宽。

因此，我运行ntop并重置所有统计信息，然后通过3000端口刷新ntop web门户，发现图表非常令人震惊，DNS流量占所有流量的近99 %，DNS流量在几分钟内接近100 in，您可以通过我上传的图片看到这个事实。

我的问题如下: 1.为什么我的VPS上有这么大的DNS流量? 2.我的VPS是否被人入侵，以至于我的VPS被配置成dns流量的核心？

编辑1 @RSchulze为什么你说的原因是因为错误配置的dns软件，如命名？什么样的错误配置会导致如此巨大的dns流量？顺便说一句，我不是手动配置命名的，我使用的是kloxo，这是一个主机管理软件，它的作者刚刚被用来攻击kloxo:(我仍然认为我的服务器可能被黑了)：(也许我应该学习wireshark并捕获一些包来了解这个DNS流量的来源和目标

编辑2在我杀死命名进程之后，现在很少有DNS流量：)但是为什么仍然有一些DNS相关的流量，但它们都是接收到的流量，没有发送流量：)这是否意味着我的VPS向其他主机发送一些DNS请求？

Answer 1

DNS中继攻击正在进行，我打赌。

检查：

http://slashdot.org/story/06/03/16/1658209/ddos-attacks-via-dns-recursion

的详细信息和示例，或

http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack (它有一个很好的例子向您展示了正在发生的事情)。

基本上，您的DNS服务器接收来自假IP地址的请求，并在那里发送大型响应。我们的目标是夸大目标。源中配置错误的DNS服务器。

Answer 2

另一个可能性较小的攻击矢量是通过DNS进行数据外接。这是通过查询特定的攻击者拥有域来实现的，攻击者可以根据被查询的主机来完成响应。可以在DNS查询有效负载中提取数据，并在响应中返回C&C信息。

就像我说的，这是一个不太可能的攻击矢量，但它是一种从不允许HTTP(S)出站但允许DNS的环境中获取数据的巧妙方法。

祝你好运找到答案..。