DNS 트래픽이 유난히 높을 때
리눅스/해킹Cent-OS 6.4 를 새로 설치하고 테스트 하던 중
Out-bound traffic 이 주기적으로 높아지는 걸 발견
iftop (또는 iptraf)로 트래픽의 주범을 찾아 보니 UDP 53번 포트 (DNS)
DNS Attack 의 일종이다.
막는 방법은 아래와 같다.
IPTables 에 다음 라인을 추가한다.
-I INPUT -p udp --dport 53 -m string --from 40 --to 51 --algo bm --hex-string '|04706b7473046173696100|' -j DROP -m comment --comment "DROP DNS Q pkts.asia"
-A INPUT -p udp -m udp --dport 53 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 --name DEFAULT --rsource -j DROP