###前提・実現したいこと
サーバー内部からDNSへ大量のセッションが発生するアタックを対処したい。
特定の25番ポートへ外部から内部への通信を遮断と事象は改善したのですが、再発しないように予防策を打ちたいと考えております。
質問内容が、ソースコード云々でないため、ここでの質問は不適切かもしれませんのでその旨も併せてご指導いただけますと幸いです。
###発生している問題・エラーメッセージ
利用しているサーバーで、smtpの応答やFTPの応答遅延があったので、確認したところ、サーバー内部から登録しているキャッシュDNS(/etc/resolv.confに登録のもの)へ、大量の53番ポートのセッションが発生しておりました。
###該当のソースコード
ここにご自身が実行したソースコードを書いてください
###試したこと
アパッチのログから不正ファイルが置かれたのかを確認しましたが、特にその形跡は見受けられませんでした。(探しきれてないだけかもしれません。。。)
netstatで表示されるIPをIPひろばやSPAM送信するIPアドレスの情報などをもとに、iptablesでブロックしたところ、あるIP(25番ポート利用)をブロックしたところで53番ポートのセッションが消えました。
このため、
外部→内部への25番ポートへの通信をトリガーとして、
内部→外部への53番ポートのセッション大量発生という現象なのではと考えておりますが、
何を対処すれば防げるのか不明ため、ご助力いただきたいと考えております。
###補足情報(言語/FW/ツール等のバージョンなど)
CentOS release 5.9
PHP 5.3.3
MySQL 5.0.95
BIND 9.3.6
MTA:qmail
回答5件
あなたの回答
tips
プレビュー