DNSサーバーから以下のようなエラーログが出まくりました。
general: error: socket: file descriptor exceeds limit (4096/4096)
原因は同じアドレスからあるドメインへの問い合わせを何度もしていたことが原因みたいでした。
目次
をチェック
エンジニア必見! 技術力を伸ばすVPS徹底比較
>>>DNSで送信元のIPを追跡する
一体、どこから攻撃されているのか全く分からないので、一つずつ順を追って確認をしていきます。
じぶんもすぐに忘れてしまうので、メモっちまいます。
まずはどこ向けのIPアドレスが大量に来ているのかを確認
まずは、どこへの問い合わせが大量に来ているのかを探る為に、以下のコマンドで確認します。
# netstat -an | more
これでは、まったくわからないので、”ESTABLISHED”になっているIPだけを抽出します。
# netstat -an | grep ESTABLISHED
なおかつ、送信先のアドレスをまとめて確認したいので、出力結果の”Foreign Address”をソートして検索します。
# netstat -an | grep ESTABLISHED | sort -k5
さらに、いくつあるのかをカウントします。
# netstat -an | grep ESTABLISHED | sort -k5 | grep (問い合わせ先のIPアドレス) | wc -l 476
大量に来ていたアドレスのドメインを調べます。
# tcpdump host X.X.X.X(問い合わせ先のIPアドレス)
ここで、悪さしているドメイン(xxx.com)を確認できるんですが、よくやりますね。お隣の大国は。
大体、中か韓なんだよね。
困ります。仲良くしましょう。
送信元のアドレスを突き止める
まずは、以下の階層へ移動します。
# cd /var/named/chroot/var/log/
この階層で”queries.log”があります
# ls queries.log
そこで、中身を確認。
# grep "xxx.com" queries.log | more
これも大量にあるので、送信元のIPを頭に持ってきて見えやすくしましょう。
※出力結果で送信元のアドレスは左から6つ目にあるので”awk ‘{print $6}’”のコマンドを叩きます。
# grep "xxx.com" queries.log | awk '{print $6}' | more
同じ、アドレスはまとめるようにします。
※たとえば、1.1.1.1が5つあるとしたら出力結果に
5 1.1.1.1
って感じで表示させる
# grep "xxx.com" queries.log | awk '{print $6}' | sort -k1 | uniq -c | more
最後に以下コマンドを叩けば、最後尾に一番多く問い合わせをしている送信元IPが何か突き止められます。
# grep "xxx.com" queries.log | awk '{print $6}' | sort -k1 | uniq -c | sort -k1
悪いことするのはやめましょう。
以上です。
あわせて読みたい
サーバーエンジニアへの構築手順書
サーバエンジニアにおすすめの構築手順をまとめたページです。 サーバ初心者の方。じぶんも初心者なので、そっから目線で構築した設計手順書となっています。 ご興味の...
ITエンジニアの開発・検証・学習としてインターネット上で専用のサーバ(VPS)を利用しましょう!
実務経験はVPSで学べます。
コメント