locked
DNS 產生 UDP Flood 疑問 RRS feed

  • 一般討論

  • 請教各位..

    最近因為特殊原因,需要用到DNS NLB  , 目前使用上都是正常的

    但FW 卻產生Alert 告知 DNS Cluster IP 出現 UDP Flood 異常通知

    查了一下 udp flood  

    "UDP的攻擊方式是攻擊者送出隨機挑選埠號的UDP封包到目的端,當目的端收到UDP封包之後,需判定並交由應用程式來處理此一封包。當系統發現並無應用程式可以處理此一封包,系統即回覆目的端無法到達到的ICMP封包給偽造的來源位址。如果有過多的UDP封包同時傳送到這個目的端的系統,將導致系統無法正常提供服務。"

    雖然目前因為測試中, 使用正常, 但擔心若使用的人一多 , 真的會影響到FW , 導致效能降低

    請問我在NLB 中 是透過multicast 僅開放udp 53 通過 但為什麼NLB DNS 會產生這個問題呢?

    會這樣設定是因為如果第一組DNS 掛了, USER 查詢第二組DNS  查詢速度較慢

    所以試試DNS NLB  , 如果是單獨透過其中一個node 則是正常 

    除了透過fw 設定每秒允許通過的udp 封包外,(怕設定後影響效能)

    還有什麼方法排除這個問題? 


    2012年2月1日 上午 10:27

所有回覆

  • 防火牆的 防洪 (Flood) 設計,是要網管配合單位流量來設定合理上限,如果是你新建的 DNS 而沒人使用,發出防洪警報就不合理,如果本來就是很忙碌的 DNS ... 那就應該把防洪警報上限做調整。

    你多台負載平衡用的電腦是用 domain name / computer name 設定的話,都會對 dns 大量查詢。


    論壇是網友平等互助 保證解答請至 微軟技術支援服務
    提問時,錯誤情境描述與錯誤訊息很重要,情境描述包含你做了什麼,預期的結果與實際發生的結果。一個最爛的問法範例:「我的電腦電腦怎麼不能開機?」誰知道你家是不是沒電還是你根本找不到電源鈕。
    2012年2月1日 下午 04:51
  • 以下是其中一小段log , 目前只有我一人先測試 卻會產生udp flood ?

    192.168.10.35 目前只設定dns 到11.239 , 比較好奇的是為何會出現  這麼多5xxxx 的port number 到 11.239 udp 53 ? 

    我一直以為 dns 查詢都只走udp 53 port 到 目的dns  怎麼會冒出這麼奇怪的port , 是我觀念錯誤 還是有其它原因? 

    但這句 "你多台負載平衡用的電腦是用 domain name / computer name 設定的話,都會對 dns 大量查詢。"

    是指什麼? 不太瞭解 是指設NLB 時, 用電腦名稱加入node 嗎?

     

    2012年2月2日 上午 04:02
  • 蠻好奇 DNS 建立 NLB 的特殊原因是什麼?
    不然一般來說,如果是針對外部使用者存取,
    都是建立兩台 DNS 主機及不同的對外 IP 來服務。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    Windows 7 技術支援中心
    2012年2月2日 上午 07:51
    版主
  • 原因說來真辛酸,  因為公司的DNS 不定時會失效  時間多長不一定, 可以幾天, 幾週 ...

    Client 有設2組DNS , 但兩台DNS 都有相同的問題, 當然還有其它的DNS , 但只要派上陣 都有相同情形

    但只要出問題,重設轉寄站就馬上好,也就是一發現問題,1分鐘內就可以處理好,又可以撐一小段時間

    但長久下去也不是辦法,期間也試過其它方法, 不過似乎沒效, 當然還有其它辦法,

    不過要測試說來容易,要實行卻些權限問題,所以我沒法試,所以才又另提供這個請他人測試 這就是特殊原因

    至於為什麼會失效,目前也暫時無解

    有人知道為什麼嗎?

    2012年2月3日 上午 03:19
  • 你的 DNS 只是單純服務內部使用者而已嗎?
    公司的 DNS 也是 DC 並使用網域功能嗎?
    用戶端跟 DNS 的網路通訊過程會經過你先前提到的防火牆嗎?
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    Windows 7 技術支援中心
    2012年2月3日 上午 03:59
    版主
  • 嗯,這是內部DNS 

    也是AD環境 & Domain DNS

    內部dns查詢基本上不會經過firewall  

    但跨Vlan 則會經過FW AND Router 

    在我的網段是不會經過firewall 的,

    只是不知道為什麼 NLB 的 DNS 會產生alert 

    非nlb 則正常

    2012年2月3日 上午 04:55
  • 我會覺得應該先解決為何 DNS 會有問題的狀況,
    你所謂的重設轉寄站是指 DC 上的 DNS 設定裡的轉寄站嗎?
    另外,如果這兩台 DNS 主機已經是網域控制站,
    請避免再設定成 NLB 方式運作。

    至於為何 NLB 運作會出現 Alert,
    這應該要問防火牆廠商,這部份是什麼樣的封包運作或行為模式才會導致這樣的訊息。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    Windows 7 技術支援中心
    2012年2月3日 上午 05:38
    版主
  • 如果可以解決,當然是最好,也不用試nlb dns 了

    就如特殊原因所說, 有權限問題, 就算測試很簡單,不影響使用者, 只要5分鐘

    我也是沒有權限, 所以造成一定難度 , 

    我的NLB 是Join domain 的DNS  非 dc 所以不會影響

    FW 的問題, 我找了2台電腦另外測試, 我發現好像那2台好像不會出現UDP Flood ..

    只有我現在用的電腦會.. 囧  不過才試了2~3個小時,而使用頻率不高, 不像現在10.35 這台這麼頻繁

    我再觀察看看是不是我自己電腦的問題  如果是就有點搞笑了... 哈哈

    2012年2月3日 上午 06:07