dnsの問い合わせ攻撃
仕事で使っているWEBサーバのバックアップサーバがDNSの問い合わせ攻撃を受けた。
ものすごい問い合わせで、DNSが死んだとか侵入されたではなく、
ログが爆発してディスクフルになってしまった。
/var/log/messages
/var/named/data/
のログのサイズがすごいことになってた。
早速色々と対策を施した。
bindの設定で1秒1回に制限。
firewalldで1分に60回を超えたら、60秒対象アドレスへは無応答
とした。
それでも、アクセスは止まらず。
頭にきて、全世代のmessagesから、対象IPアドレスを抜き出して
半日に1回firewalldのDROPゾーンへ突っ込むことにした。
これでようやく、ログの成長が穏やかになった。
これでもまだかなりあるけど、ディスクを食い尽くすことはなくなった。
それが、今日ログを見てみたら、なんか知らんが静かになっている。
どうしたんだろうね。
でも、bindはアップデート対象には入ってなかったし。
tcpdumpでみても嘘のように治った。
まあいっか。