UDP 53포트 과다 접속

 

 

 

업데이트(21.05.22) - UDP 53 포트(DNS) 접속 제한 참고

갑자기 네트워크 트래픽이 늘어나는 것을 확인했다.
스위치의 각 포트를 확인하여 해당 서버를 확인했다.
해당 서버의 부하나 트래픽은 큰 문제가 없어 보였다.
혹시나 해서 UDP 트래픽을 확인해 보니 역시나 UDP가 문제였다.

 

트래픽 폭주 발생

 

named process 확인

 

이것은 DNS Flood Attack (DNS Flooding)이라는 공격 방법으로 네트워크에 부하를 유발한다.

 

처리 방법은 
1. named에서 recusion no; 설정
2. iptables 제한
   

(53번 포트로 1초에 10번 이상 접속시도 차단) 
iptables -A INPUT -p udp -m udp –dport 53 -m state –state NEW -m recent –set –name DNS –rsource 
iptables -A INPUT -p udp -m udp –dport 53 -m state –state NEW -m recent –update –seconds 1 –hitcount 10 –rttl –name DNS –rsource -j DROP 
iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT 

으로 처리가 가능하다고 한다.

 

[참고사이트]
dns 해킹 공격 관련
https://idchowto.com/?p=1827

idchowto.com - 스마일서브(Cloudv.kr)