關(guān)于DNS的CPU利用率過高問題

ccpcbear

我這里有2臺DNS服務(wù)器，在上聯(lián)的4層交換機上做了負載分擔(dān)，一般情況下任何一臺CPU利用率在10％以下，忙時也就10～20之間。前一段CPU利用率非常不穩(wěn)，經(jīng)常在50％之上（不在業(yè)務(wù)忙時），最近有所好轉(zhuǎn)，每天10：30到11：30，其中一臺的CPU利用率還是50％以上（一塊CPU80％以上，一塊10％左右），其他時間2臺都正常。非常準時的利用率過高，懷疑有人惡意攻擊。
   現(xiàn)在我該怎么辦？

2bedodo

找到攻擊IP，加入blackhole列表里

ccpcbear

我查看進程是named進程占用過高47％左右，加上系統(tǒng)占用情況就過50％了，有時候telnet都困難，只好到服務(wù)器上操作，這段時間如果做了新的域名刷新進程的話，named進程就像死掉一樣，在本機上nslookup都解析不出，解決辦法只能重啟。 我想知道是否有基于域名的攻擊軟件，有的話如何防范，主要針對本地的寬帶撥號用戶IP地址不能夠做限制。目前缺少一臺hub或者交換機，不然可以掛siniffer抓取封包。

2bedodo

我想是有這樣的攻擊軟件的，一般都是flood的攻擊。我原來經(jīng)常看到有同一個IP反復(fù)解析同一個或幾個地址的請求，對這種情況，其實最好的辦法是在上層的網(wǎng)絡(luò)設(shè)備上攔截。要防范我想可能也沒什么好的辦法，因為那些請求都是合法的請求。只能封IP，過兩天再放出來。
還有，你看看你的TCP53上的連接是不是很多？一般如果是攻擊的話會TCP、UDP5同時攻擊的，你可以在上層設(shè)備上封掉TCP的53，只保留常和你做更新的其他幾個DNS就可以，這樣余下的精力就可以專門對付UDP的flood，方便好多的。

ccpcbear

謝謝你，下周找臺hub來先抓IP，抓到IP就去抓丫的上網(wǎng)賬號和地址去，呀呀個呸的折騰死我了。

2bedodo

為什么非要找臺HUB抓包？你是什么系統(tǒng)？solaris? hpux?一般都有抓包的命令的。直接在你的DNS上抓啊。

zhaospring

如何在DNS上抓包,我是菜鳥,希望能給個詳細的操作方法.
solaris8上如何抓?
比如抓到100個包,如果區(qū)分那些是正常的那些是不正常的.
先謝了

2bedodo

snoop port 53就是抓53端口的包。具體的細節(jié)很多，你可以參考man page。抓到的包沒有什么正常的和不正常的之分，如果有，那只是邏輯上來看你根據(jù)你的應(yīng)用認為哪些是正常的哪些是不正常的。

5417

tcpdump port 53