話說想到這招時,問一下
谷哥,果然跟我說
已經有人想到了,
而且果然就是
陳昌盛老師~~然後再復習一下當年旁聽他上課的投影片,
心想當年要是不那麼容易睡著,功力能提升更多吧...
昨天區網中心通知本校有個IP在前天被外國網站通報教育部在發spam,
由於我並沒有網路設備權限,所以是轉告給老管理師,
據他們說那個IP算是浮動NAT的對外IP,下面是宿網private ip,
還要找log查那時間誰在用等等...
結果他們好像很忙也沒時間找~.~
而很剛好的因為我上班不久就發現這裡DNS設定問題一堆,所以很快就拿到管理權,
慢慢恢復玩DNS的手感,於是就想到:這種狀況應該是PC中毒,
而發廣告信的程式正常講應該是直接用系統設定的DNS來查寄信目的地吧,
那DNS server一定有一堆該機器向它查外面各網域MX的紀錄...
而事實上也是如此,居然比合法mail server查詢次數多到千倍,馬上就抓到了。
而沒網路設備權限的DNS管理者不但能抓出犯人,也是可以半阻擋當時的攻擊:P
就是把該IP設進blackhole或是直接用防火牆擋讓它查不到要寄到哪,
雖然網路是通的但信不出去就還好~
但其實由DNS server偵測內部攻擊也是要在一些條件下才容易發揮:
一、該DNS server必須為內部網路大多機器使用的。
通常在學校內就是校級計中設的那幾個、全校通用網路設定教學會提到的那幾個。
而像系級如交大資科雖然也有系計中自己的DNS server,但主要是供外部查詢用,
雖然內部伺服器都會設系上的DNS,但系上一般使用者仍設定校計中的DNS,
也難怪以前都沒想到過,因為這是第一次掌握到多數使用者直接連線查詢的DNS。
二、發廣告信的程式是使用系統設定的DNS而非自定。
例如現在谷哥提供好記的DNS給大家用,
不依寄生系統的設定,避免被提早揪出...不知道有沒有木馬病毒先想到了,
但至少是我寫的話就會注意這點了XD
之後寫個小程式監控log來提早在被通報前抓出並擋掉spammer吧:~
話說連寫技術文章都像流水帳啊啊啊...
