Quand on loue un serveur chez un prestataire (tel qu’OVH ou Online par exemple), on récupère également une ou plusieurs adresses #IP. Ces dernières ont en général déjà été utilisées par des clients précédents.
J’ai récemment commandé un serveur Kimsufi (chez OVH), et j’ai du même coup récupéré une adresse IP précédemment utilisée.
Le précédent utilisateur avait visiblement installé un résolveur #DNS récursif ouvert sur la machine, probablement à cause d’une erreur de paramétrage (une recherche sur l’adresse IP m’apprends qu’elle hébergeait des services de webradio, sans rapport avec DNS).
Après avoir moi-même configuré un serveur DNS autoritaire, j’ai constaté dans ses logs qu’il y avait entre 10 et 12 requêtes par seconde de la part de 2 adresses IP, sur des gros enregistrements DNS (demande ANY ripe.net). Il s’agit probablement d’adresses IP spoofées, victimes d’une attaque par amplification (les requêtes DNS sont très petites, la réponse pour ANY ripe.net est relativement grosse).
Oct 8 11:06:00 ks300XXX named[25180]: client 180.150.140.XXX#53: query (cache) ’ripe.net/ANY/IN’ denied
Oct 8 11:06:00 ks300XXX named[25180]: client 69.162.110.XXX#53: query (cache) ’ripe.net/ANY/IN’ denied
Après 28 heures de filtrage, netfilter/iptables a jeté 76 Mo et 1155 kpaquets pour ces deux adresses IP.
J’ai également constaté d’autres requêtes plus irrégulières :
- Des requêtes diverses provenant de machines du même réseau (avec des réponses de petite taille, donc probablement pas une attaque par amplification),
- Une requête vers www.google.com, probablement pour tester l’ouverture du résolveur,
- Et même une (unique) requête ANY sur la racine du DNS.
Malgré tout, le trafic DNS lié à l’ouverture du résolveur DNS récursif est relativement faible sur cette machine.