/var/log/syslog 에 이상한 로그가 계속 잡혀요

[code:5vse7s81]
Feb 26 20:24:24 ns1 named[22370]: client 195.68.176.4#50410: query (cache) ‘./NS/IN’ denied
Feb 26 20:24:25 ns1 named[22370]: client 62.109.4.89#32838: query (cache) ‘./NS/IN’ denied
Feb 26 20:24:25 ns1 named[22370]: client 62.109.4.89#1888: query (cache) ‘./NS/IN’ denied
Feb 26 20:24:30 ns1 named[22370]: client 62.109.4.89#49607: query (cache) ‘./NS/IN’ denied
Feb 26 20:24:30 ns1 named[22370]: client 62.109.4.89#15294: query (cache) ‘./NS/IN’ denied
Feb 26 20:24:31 ns1 named[22370]: client 62.109.4.89#16285: query (cache) ‘./NS/IN’ denied
Feb 26 20:24:32 ns1 named[22370]: client 62.109.4.89#36695: query (cache) ‘./NS/IN’ denied
Feb 26 20:24:36 ns1 named[22370]: client 62.109.4.89#44117: query (cache) ‘./NS/IN’ denied
Feb 26 20:24:36 ns1 named[22370]: client 62.109.4.89#63097: query (cache) ‘./NS/IN’ denied
Feb 26 20:24:37 ns1 named[22370]: client 62.109.4.89#11715: query (cache) ‘./NS/IN’ denied[/code:5vse7s81]

거의 1초 단위 이상으로 계속 들어 오는데… 도대체 이것이 무었을 뜻하는지… 알수가 없습니다.

고수님들의 도움 부탁드립니다.

참고로 아이피를 추적해 보았더니…
러시아가 나오는데요.

해킹 시도인가요? named 어쩌고 나오는것이 네임서버 관련된것 같기도 하구…

[color=#BF0000:5vse7s81]Your IP address is 195.68.176.4
City: Moscow
Country: Russian Federation
Continent: Europe
Time Zone: GMT+3

Your IP address is 62.109.4.89
City: Irkutsk
Country: Russian Federation
Continent: Europe
Time Zone: GMT+8[/color:5vse7s81]

만약 해킹시도라면… 이쪽아이피를 차단하려면 어떻게 해야 할까요?

검색을 이용한 결과 DDos 공격임을 확인했습니다.

[url:3rqkvoc4]http://kldp.org/node/102268[/url:3rqkvoc4]
참고하시고요.

인용

[code:3rqkvoc4]일단 제 서버는 제 도메인에 대해 authorized server이기 때문에, bind를 내릴 수도, query를 막을 수도 없습니다. 하지만 . 에 대한 recursive query는 막혀있어 피해가 크지 않습니다. 어쨌든 로그 남는게 귀찮기 때문에 다음과 같은 iptables 룰을 추가합니다.

iptables -I INPUT -p udp --dport 53 -m length --length 45:45 -j DROP[/code:3rqkvoc4]

이 부분을 이용했더니 막히더군요. ^^;;;

iptables에서 위 아이피를 막았더니… 전혀 소용없더군요…
아… 쒸 왜그런지… ;; 자세히 읽었더니… 내쪽의 서버를 통해서 그쪽 아이피를 공격하는 신종수법이랍니다.

자세한 사항 아시는분… 추가 설명 좀 부탁드려요.

IRC에서 몇번 언급된 적이 있는 문제지만…

정확한 원인은 모르겠습니다.

처음엔 ddos 공격으로 생각했지만…

제가 집 컴퓨터의 nameserver를 그 서버 IP로해서

인터넷 사용하니 제 IP가 로그에 저렇게 남더군요.

제 입장에선 뭐라 단정할 수가 없더군요…
(대부분 ddos로 이야기함)

관련 업종에 계신분들의 좋은 답변 기대하겠습니다.

IP를 막고 싶으시다면 방화벽을 사용하시는 것이…

마이크 시에라님은 필요없다고 하셨지만… ^^;;;

검색에 주로 ddos라고 하는거 같은데, ddos는 아닙니다.(감염되면 DDOS를 유발할수는 있습니다.)
DNS의 캐쉬 포이즈닝 취약점을 악용하기 위해, 단순히 외부에서 쿼리 가능한 dns들을 찾아
포이즈닝이 가능한지 확인하기 위해 여러번 dns쿼리를 실행하면서 남는 로그일 뿐입니다.
그러나 실제 allow-recursion 옵션이, 모든 호스트에 대하여 on 인경우 감염될 수 있습니다.
또한, bind의 named.conf 에서 해당 로그를 남기지 않도록 할 수 있습니다.
그리고 사실 큰 네임서버를 운영할 경우 저런것들은 정말 말도 못하게 많이 들어오기 때문에
남기지 않는게 편합니다.

그리고 위에 언급했던 DNS의 캐쉬 포이즈닝 취약점 점검은 아래를 따라하시면 됩니다.

[code:1w7rwxow]
1) 취약점 확인 방법 : 점검하고자 하는 도메인이 “aaa.bbb.ccc.ddd“인 경우
$ dig @aaa.bbb.ccc.ddd +short porttest.dns-oarc.net TXT

      가. 취약점 존재 DNS 확인 결과 :
      z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "aaa.bbb.
      ccc.ddd is POOR: 26 queries in 4.0 seconds from 1 ports with std dev 0.00"

      나. 정상 DNS 확인 결과 :
      z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "IP-of-GOOD
      is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev 17685.51"

[/code:1w7rwxow]

원본은 여기 있습니다. [url:1w7rwxow]http://www.krcert.or.kr/secureNoticeView.do?num=272&seq=-1[/url:1w7rwxow]

[quote="움트트움트":1scxkw2d]또한, bind의 named.conf 에서 해당 로그를 남기지 않도록 할 수 있습니다.[/quote:1scxkw2d]
움트트움트님 저도 로고 많이 남는게 귀찮아서 우분투 서버 한대를 2달 전부터 IPTABLES 룰로 막고 있습니다.
위 사항이 처음 나타난게 2달전 이었습니다.
네임서버 보안에 문제는 없으나 iptables룰을 안주면 로고가 초당 몇개씩 찍히는데…
[b:1scxkw2d]named.conf 설정으로 해당 로고만 남기지 않는 방법이 무엇 인지요 ?[/b:1scxkw2d]

[quote="강분도":3bab8qno]named.conf 설정으로 해당 로고만 남기지 않는 방법이 무엇 인지요 ?[/quote:3bab8qno]

저는 named를 chroot 하여 사용합니다.(설정상 크게 관계는 없습니다.)
named.conf 에서 logging 지시자를 통하여 logging 옵션을 재 지정할 수 있습니다.
방법은 아래와 같습니다.

[code:3bab8qno]logging {
channel syslog_channel {
syslog daemon;
severity info;
};
channel logfile_channel {
file "/chroot/var/log/named.log" versions 20 size 10M;
severity info;
};

    category default { syslog_channel; };
    category queries { syslog_channel; };
    category general { logfile_channel; };
    category client { logfile_channel; };
    category config { logfile_channel; };
    category database { logfile_channel; };
    category dnssec { logfile_channel; };
    category lame-servers { logfile_channel; };
    category unmatched { logfile_channel; };
    category network { logfile_channel; };
    category notify { logfile_channel; };
    category resolver { logfile_channel; };
    category security { null; };
    category update { logfile_channel; };
    category xfer-in { logfile_channel; };
    category xfer-out { logfile_channel; };

};[/code:3bab8qno]

위 코드는 named.conf 중 일부 입니다.
크게는 채널로 로깅 기법을 분리하고, 카테고리의 종류에 따라 채널을 따로 설정할 수 있습니다.
위에 말씀드렸던, cache 관련 로그는 security 섹션에서 남기게 됩니다.
위 코드상에서 보시는것과 같이, category security { null; }; 을 통하여 해당 액션에 대하여 로깅하지 않겠다는 뜻이 됩니다.
BIND 9.3 기준 입니다.

[quote="움트트움트":33z813l6]named.conf 에서 logging 지시자를 통하여 logging 옵션을 재 지정할 수 있습니다.
방법은 아래와 같습니다.[/quote:33z813l6][b:33z813l6]네임서버(bind)로그도 분리/세분화 할수 있다는 것을 알게 되어 기쁩니다.[/b:33z813l6]
우분투 서버 기본설정에선 네임서버 로그가 시스템로그 쪽으로 가버려 좀 재미 없었는데…
네임서버 로그도 분리와 다양한 옵션을 줄 수 있다는 걸 알게 되어 당분간 세분화 하여 운영 하면서 로그 구경 및 분석 해봐야 겠습니다.
본인 서버는 네임서버 쿼리에도 저의 스타일이 나오는 군요 (가톨릭, 구를, 우분투, 한아이알씨…)
[attachment=0:33z813l6]bundo-1236373033.png[/attachment:33z813l6]

위의 문제는 iptables 룰을 안해도 [u:33z813l6]세큐러티 로그를 안남기게[/u:33z813l6] 하니
‘query (cache) ‘./NS/IN’ denied’
[u:33z813l6]시스탬쪽 으로도 로그가 남지 않더군요 (결국 bind의 세큐러티 로그 였군요[/u:33z813l6])

움트트움트님께 감사하며…