Cum să găsiți atacatorii DNS locali pe mașina Linux?

Ján Lalinský

29.10.2022, 19:23

Pe un server de găzduire partajată (centos8), sunt găzduite mii de site-uri web. Toți folosesc un singur serviciu DNS care rulează ca soluție recursivă locală (BIND 9).

Observăm evenimente de supraîncărcare aleatoare fără niciun vinovat clar.

O ipoteză este că un site web (utilizator Unix) atacă soluția DNS locală.

În contextul demonului bind care rulează local, care este cel mai bun mod de a-l face să înregistreze nu numai interogarea DNS, ci și utilizatorul Unix care a trimis-o? Este chiar posibil?

1 + 2

linux

gentoo

Nikita Kipriyanov

29.10.2022, 19:46

Prin jurnalele BIND, nr. Cel mai bun lucru pe care îl va înregistra este numărul portului sursă, care este inutil. Mai bine încercați să utilizați subsistemul *audit* pentru a înregistra cine a creat socket-uri. Începeți să căutați aici: https://unix.stackexchange.com/questions/30046/logging-outgoing-connections-as-they-happen

Răspunde

Ján Lalinský

29.10.2022, 19:53

@NikitaKipriyanov mulțumesc, voi încerca asta.

Răspunde

Puncte:0

Server

t3ln3t

30.10.2022, 05:40

S-ar putea să vă uitați la rularea DNStop pe caseta recursivă. Va identifica clar dacă aveți clienți care abuzează de serviciul dvs. dintr-o privire. Poate fi mai ușor decât observarea jurnalelor, mai ales dacă luați o cantitate semnificativă de trafic.

Ar trebui să puteți găsi DNStop în depozitele EPEL și să îl instalați cu ușurință.

mai multe informații despre acest instrument ingenios puteți găsi aici: http://dns.measurement-factory.com/tools/dnstop/

0 + 1

Ján Lalinský

30.10.2022, 12:37

Din păcate, aceasta pare să poată afișa numai adresa IP a sursei, nu ID-ul utilizatorului Unix. În situația mea, rezolutorul rulează pe aceeași mașină ca și clienții DNS.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: How to find local DNS attackers on Linux machine?

TH: จะค้นหาผู้โจมตี DNS ในเครื่องบนเครื่อง Linux ได้อย่างไร

RO: Cum să găsiți atacatorii DNS locali pe mașina Linux?

RU: Как найти локальных DNS-атак на машине с Linux?

VI: Làm cách nào để tìm những kẻ tấn công DNS cục bộ trên máy Linux?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.