我也發(fā)一個(gè)討論主題：如何將惡意使用DNS的IP挑出來(lái)

cpss

現(xiàn)在蠕蟲(chóng)病毒滿網(wǎng)爬，很多人的PC中毒了自己也不知道，任由PC瘋狂向外發(fā)送垃圾郵件，同時(shí)也會(huì)造成大量的dns解析請(qǐng)求。我在dns用"ipfstat -t"監(jiān)控時(shí)發(fā)現(xiàn)，排在前幾名的IP幾乎都是瘋狂在解析MX，如下面是我用tcpdump抓的信息：
root@mydns#tcpdump -s 0 -x host myclient_IP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ce0, link-type EN10MB (Ethernet), capture size 65535 bytes
04:52:42.605216 IP myclient.2235 >; mydns.domain:  14424 MX? sexnet.com. (2
04:52:42.629182 IP myclient.2235 >; mydns.domain:  36696+ MX? gto.net.om. (2
04:52:42.658890 IP myclient.2235 >; mydns.domain:  8239+ MX? gto.net.om. (2
04:52:42.662981 IP myclient.2235 >; mydns.domain:  22362+ A? mail1.house.net. (33)
04:52:42.684752 IP myclient.2235 >; mydns.domain:  6487+ A? gate.megacorp.com. (35)
04:52:42.691710 IP myclient.2235 >; mydns.domain:  34648+ MX? gto.net.om. (2
04:52:42.691794 IP myclient.2235 >; mydns.domain:  11353+ A? mxs.sandai.net. (32)
04:52:42.720076 IP myclient.2235 >; mydns.domain:  17923+ MX? sexnet.com. (2
04:52:42.721291 IP myclient.2235 >; mydns.domain:  52795+ MX? nets.net.pk. (29)
04:52:42.727873 IP myclient.2235 >; mydns.domain:  55298 MX? sexnet.com. (2
04:52:42.729201 IP myclient.2235 >; mydns.domain:  52795 MX? nets.net.pk. (29)
04:52:42.812564 IP myclient.2235 >; mydns.domain:  40517+ A? gate.sandai.net. (33)
04:52:42.845057 IP myclient.2235 >; mydns.domain:  52795+ MX? nets.net.pk. (29)
04:52:42.852921 IP myclient.2235 >; mydns.domain:  31273 MX? nets.net.pk. (29)
04:52:43.172492 IP myclient.2235 >; mydns.domain:  28503+ MX? sexnet.com. (2
04:52:43.185953 IP myclient.2235 >; mydns.domain:  28247 MX? sexnet.com. (2
04:52:43.301119 IP myclient.2235 >; mydns.domain:  53051+ A? mail.znwb.com. (31)
04:52:43.304324 IP myclient.2235 >; mydns.domain:  1879+ MX? sexnet.com. (2
04:52:43.318280 IP myclient.2235 >; mydns.domain:  54327 MX? sexnet.com. (2
04:52:43.332524 IP myclient.2235 >; mydns.domain:  24667+ MX? gto.net.om. (28)
04:52:43.351482 IP myclient.2235 >; mydns.domain:  52795+ A? mx.megacorp.com. (33)
04:52:43.394869 IP myclient.2235 >; mydns.domain:  53051+ A? mail.znwb.com. (31)
04:52:43.471331 IP myclient.2235 >; mydns.domain:  9815+ MX? sexnet.com. (28)
04:52:43.472906 IP myclient.2235 >; mydns.domain:  18781+ MX? gto.net.om. (28)
04:52:43.479244 IP myclient.2235 >; mydns.domain:  44630 MX? sexnet.com. (28)
04:52:43.504215 IP myclient.2235 >; mydns.domain:  35676+ A? mail.backup.lst. (33)

我可以手工修改named.conf，不允許我的dns為該IP服務(wù)。但我無(wú)法實(shí)現(xiàn)自動(dòng)識(shí)別這種惡意使用DNS的IP、并自動(dòng)拒絕為他們服務(wù)。
請(qǐng)大家討論，看如何解決該問(wèn)題。謝謝。

abel

我可以手工修改named.conf，不允許我的dns為該IP服務(wù)。但我無(wú)法實(shí)現(xiàn)自動(dòng)識(shí)別這種惡意使用DNS的IP、并自動(dòng)拒絕為他們服務(wù)。
請(qǐng)大家討論，看如何解決該問(wèn)題。謝謝

這個(gè)問(wèn)題用 DNS 並不好解,除非 DNS 有 count 功能 , 可惜沒(méi)有...
且手動(dòng)加減 efford 太大,並不能避免 user 將 dns 指走後,仍用你的 mail server
且現(xiàn)在 Windows 2000 以上平臺(tái),多數(shù) Resolver 就會(huì)做 DNS Cache....
個(gè)人認(rèn)為,正確解法應(yīng)從 mail server 著手,就要看你的 mail server 有沒(méi)有
檔迸發(fā)連接的功能了,不然就從 firewall 等著手

cpss

可問(wèn)題是我這里只負(fù)責(zé)網(wǎng)絡(luò)和DNS，并不負(fù)責(zé)mail server。許多mail server垃圾郵件滿天飛，我也沒(méi)有辦法啊。

abel

想想看樓主的帖中的 query type,
誰(shuí)會(huì)發(fā)起 MX 查詢 ?

kor

有沒(méi)有能自動(dòng)進(jìn)行count然后處理的程序呢，現(xiàn)成的，畢竟對(duì)dns進(jìn)行審計(jì)是每一個(gè)管理員都想完成的事情

cpss

dnstop可以統(tǒng)計(jì)，但它不會(huì)做進(jìn)一步的處理。如果誰(shuí)能開(kāi)發(fā)個(gè)dns防攻擊的軟件就好了。我覺(jué)得可以從抓包信息中分析（dnstop是不是這樣干的？），然后排序，并按照事先預(yù)制的閥值來(lái)審計(jì)使用dns的client，如果發(fā)現(xiàn)某個(gè)client可疑（我說(shuō)的是一個(gè)入侵檢測(cè)系統(tǒng)？呵呵），就在named.conf中設(shè)置不對(duì)其解析，或干脆直接在防火墻上阻止該包進(jìn)入。
我編程比較菜，無(wú)法實(shí)現(xiàn)上面的思想。哪位老大能不能百忙中抽出點(diǎn)時(shí)間，編一個(gè)類似的程序，解決該問(wèn)題，救廣大受苦受難的DNS管理員于水火之中。