일상의 정리

DNS 트래픽이 유난히 높을 때

리눅스/해킹

Cent-OS 6.4 를 새로 설치하고 테스트 하던 중

Out-bound traffic 이 주기적으로 높아지는 걸  발견

iftop (또는 iptraf)로 트래픽의 주범을 찾아 보니 UDP 53번 포트 (DNS)

DNS  Attack 의 일종이다.

막는 방법은 아래와 같다.


IPTables 에 다음 라인을 추가한다.

-I INPUT -p udp --dport 53 -m string --from 40 --to 51 --algo bm --hex-string '|04706b7473046173696100|' -j DROP -m comment --comment "DROP DNS Q pkts.asia"

-A INPUT -p udp -m udp --dport 53 -m state --state NEW -m recent --set --name DEFAULT --rsource

-A INPUT -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 --name DEFAULT --rsource -j DROP