首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
crzidea
V2EX  ›  宽带症候群

家里宽带 53 端口遭到来自浙江 IP 的攻击

  •   
  •   crzidea · 10 天前 · 1687 次点击

    话不多说,上日志:

    Tue Oct 29 14:27:11 2024 daemon.info dnsmasq[1]: 1589200 115.231.78.4/35313 forwarded me83efc9fbfb3.detr3.mi.comcast.net to 127.0.0.1#5053
Tue Oct 29 14:27:12 2024 daemon.info dnsmasq[1]: 1589206 115.231.78.2/54993 forwarded abszdbgsbm.muccz.cf to 127.0.0.1#5053
Tue Oct 29 14:27:13 2024 daemon.info dnsmasq[1]: 1589209 115.231.78.8/14017 forwarded chunmei.lichenyeya.com to 127.0.0.1#5053
Tue Oct 29 14:27:14 2024 daemon.info dnsmasq[1]: 1589213 115.231.78.8/14017 forwarded zK3fLH.dmdiao.com to 127.0.0.1#5053
Tue Oct 29 14:27:15 2024 daemon.info dnsmasq[1]: 1589214 115.231.78.2/54993 forwarded vnfyyydarp.okcla.ga to 127.0.0.1#5053
Tue Oct 29 14:27:16 2024 daemon.info dnsmasq[1]: 1589200 115.231.78.4/35313 forwarded me83efc9fbfb3.detr3.mi.comcast.net to 127.0.0.1#5053
Tue Oct 29 14:27:17 2024 daemon.info dnsmasq[1]: 1589215 115.231.78.2/54993 forwarded qtweaklias.okcla.ga to 127.0.0.1#5053
Tue Oct 29 14:27:19 2024 daemon.info dnsmasq[1]: 1589217 115.231.78.2/54993 forwarded vljaacnwks.okcla.ga to 127.0.0.1#5053
Tue Oct 29 14:27:20 2024 daemon.info dnsmasq[1]: 1589218 115.231.78.2/54993 forwarded gtcyznwhla.okcla.ga to 127.0.0.1#5053
Tue Oct 29 14:27:21 2024 daemon.info dnsmasq[1]: 1589219 115.231.78.2/54993 forwarded qlcprpdpbr.malez.tk to 127.0.0.1#5053
Tue Oct 29 14:27:21 2024 daemon.info dnsmasq[1]: 1589215 115.231.78.2/54993 forwarded qtweaklias.okcla.ga to 127.0.0.1#5053
Tue Oct 29 14:27:21 2024 daemon.info dnsmasq[1]: 1589220 115.231.78.8/14017 forwarded yo71t7.vietnamairline.asia to 127.0.0.1#5053
Tue Oct 29 14:27:22 2024 daemon.info dnsmasq[1]: 1589222 115.231.78.8/14017 forwarded 63639736.699019.com to 127.0.0.1#5053
Tue Oct 29 14:27:22 2024 daemon.info dnsmasq[1]: 1589223 115.231.78.4/35313 forwarded mfc91145a9dc2.npls.fl.comcast.net to 127.0.0.1#5053
Tue Oct 29 14:27:23 2024 daemon.info dnsmasq[1]: 1589217 115.231.78.2/54993 forwarded vljaacnwks.okcla.ga to 127.0.0.1#5053
Tue Oct 29 14:27:24 2024 daemon.info dnsmasq[1]: 1589246 115.231.78.8/14017 forwarded pi0w4t.chungcuthudo247.xyz to 127.0.0.1#5053

    115.231.78.0/24 这个段的 IP 所属公司 Hangzhou Duchuang Keji Co.,Ltd ,有没有可能是网警的?祝这个公司早日倒闭。太离谱了,一天 30 万次请求。已经 Traffic Rules: Drop + Exclude interface: wan, wan_6 处理了。本来也没想给外网用。

    16 条回复    2024-11-06 16:17:26 +08:00
    SkywalkerJi
        1
    SkywalkerJi  
       10 天前 via Android
    估计是肉鸡跳板
    看了下是个做软管的厂。
    dalaoshu25
        2
    dalaoshu25  
       10 天前
    不是,你为什么要让自己的 53 端口能被 WAN 一侧访问到?你这本身就是不当和危险行为啊。
    laiyibeimeishi
        3
    laiyibeimeishi  
       10 天前
    所以你为什么要开放 53 端口到外网?这是很危险的行为,每天都有愣头青扫全 ip 段
    peasant
        4
    peasant  
       10 天前
    https://www.v2ex.com/t/1019877
    OP 如果没有互联网域名解析服务业务许可证的话,算是非法开展 DNS 解析服务了吧。
    ycsos
        5
    ycsos  
       10 天前
    我也被攻击过,主要会被作为跳板机 dns 放大攻击 ddos 攻击其他的主机,当时是一段时间上行流量爆了才发现的。后面把访问 wan 的 53 端口的 ip 全 ban 了
    crzidea
        6
    crzidea  
    OP
       9 天前
    @dalaoshu25
    @laiyibeimeishi
    @peasant
    行啦,哎呦,真是见识到生物多样性了,有的人脑子的逻辑和正常人就是不一样。今天给你们上一课:
    1. 一看你们就是没自己搞过 OpenWRT 和 Dnsmasq ,OpenWRT 和 Dnsmasq 默认都是开放 53 端口给所有 interface 的,参考 https://openwrt.org/docs/guide-user/base-system/dhcp#all_options ,搜索 interface ,看看默认值是什么。
    2. 不懂法还不懂装懂就离谱,尴尬得我都浑身不得劲了。你带茅台和中华上街,拿着手累临时把烟酒放在路边,结果有个未成年的熊孩子把烟酒拿走了,这算不算『为未成年人提供烟酒』?『提供烟酒』和『开展服务』的关键都是主观意向和行为。还『非法』,真是尴尬得脚指头都抽筋了。
    3. 你们不关注主动发起攻击的人,反而不懂装懂的挑衅被攻击的人,这个价值观没救了,还是回炉重造吧。
    dalaoshu25
        7
    dalaoshu25  
       9 天前   ❤️ 2
    OP 真是天真得可爱。在这兵荒马乱的时节,但求多福吧。
    username1919810
        8
    username1919810  
       9 天前
    原来你公网没有阻断 53 这个端口啊?那感觉 80 443 也能打开
    什么运营商这么好推荐一下
    crzidea
        9
    crzidea  
    OP
       9 天前
    @dalaoshu25 别光说些无知挑衅的让人看不起。你要是有理有据,拿出来跟大家讲讲看看你的逻辑和依据啊。还让别人自求多福,让人看不起。
    crzidea
        10
    crzidea  
    OP
       9 天前
    @username1919810 我也没想到没阻断,我一直以为是阻断了的,之前也从来没看到过来自外网的访问记录。电信。
    Immunize
        11
    Immunize  
       9 天前
    @crzidea #6 虽然 dnsmasq 会监听所有接口,但是 /network/firewall/rules 里面应该不会默认入向放通 UDP 53 端口呀,是不是误操作放通了所有端口。
    crzidea
        12
    crzidea  
    OP
       9 天前
    @Immunize 你说的这个对,我设置了 zone wan input ACCEPT 。但是为了游戏联机体验,还是得开。把端口规则加上得了。
    Immunize
        13
    Immunize  
       9 天前
    @crzidea #12 理论上讲 zone wan input ACCEPT 这样配置对联机游戏应该是没有改善的,因为公网 IP 是属于你路由器的,外部主动访问你公网 IP 的端口也只能访问到你的路由器。 这对路由器背后的内网设备应该是没有帮助的。正确的作法应该是保持 zone wan input REJECT ,打开 upnp 功能,游戏会通过 upnp + STUN 打洞,完成联机 p2p 。如果确实有些固定端口的应用可以在防火墙里加特定的转发规则,转发到你想要的设备,比如 NAS 上的一些服务。完全放开安全组,确实很不安全,毕竟 openwrt 自用也不会经常升级,不排除某些有些安全漏洞的内网服务暴露在了公网产生安全风险。
    sp670
        14
    sp670  
       9 天前
    坐标 0779 电信,时至今日家宽的 53 端口也是一直默认打开的。
    我家用的 ROS ,ROS 默认的 DNS 也是向 WAN 口开放的,之前也是被攻击,后来直接把 WAN 口进来 53 端口的包全 drop 了了事
    tjiaming99
        15
    tjiaming99  
       8 天前
    @crzidea 其实人家说的也没有错,对于个人最简单的处理办法就是用防火墙把端口 ban 掉。互联网攻击就跟印度的强奸案一样,对于没有办法从发起者入手,那么最好的办法就是保护好自己,别穿的暴露又到处跑。
    认死理在技术上可能是好事,但是放在平常上就是很蠢的一种行为
    SakuraYuki
        16
    SakuraYuki  
       2 天前
    @crzidea 游戏开了 upnp 会自己打洞的吧,没必要全部放行,太危险了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   946 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 20:57 · PVG 04:57 · LAX 12:57 · JFK 15:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.