Wireshark实战从DNS异常流量分析到iptables精准防御全记录那天凌晨3点值班手机突然响起刺耳的告警声——核心DNS服务器CPU使用率突破90%阈值。作为运维负责人我立刻意识到这绝非普通的业务高峰。登录服务器后top命令显示named进程消耗了异常高的资源而监控图表上的请求量曲线呈现出诡异的锯齿状波动。一场针对DNS服务的隐蔽攻击正在发生而接下来的6小时我将带你完整还原这场攻防战的全过程。1. 异常定位与数据捕获面对突发的性能问题首先要确定是业务激增还是恶意攻击。通过netstat -anu快速检查UDP 53端口的连接状态发现大量来自不同IP的ESTABLISHED连接这明显不符合DNS查询的短连接特性。使用tcpdump进行流量镜像是最直接的取证方式tcpdump -iany port 53 -nnv -w dns_attack.pcap -C 100 -W 10这个命令有几个关键参数-iany监听所有网络接口port 53限定DNS服务端口-C 100每100MB分割一个文件-W 10最多保留10个轮转文件提示在生产环境抓包时务必限制文件大小避免磁盘被撑满导致系统崩溃2. Wireshark高级分析技巧将捕获的pcap文件下载到本地后用Wireshark打开的第一件事是检查Statistics Protocol Hierarchy。这时发现DNS协议占比高达85%远超正常比例。接下来通过分层分析法逐步定位攻击特征2.1 攻击源定位在过滤栏输入dns.flags.response 0筛选所有DNS查询请求然后使用Statistics Endpoints功能IP地址包数量占比203.0.113.4512,45838.7%198.51.100.229,87230.6%192.0.2.675,32116.5%前三名IP发送了超过85%的请求这种分布明显异常。进一步分析这些IP的查询行为ip.src 203.0.113.45 dns.qry.name matches [a-z0-9]{16}\.example\.com发现大量符合随机字符串模式的子域名查询这是典型的DNS隧道攻击特征。2.2 攻击模式识别通过Statistics DNS查看查询类型分布查询类型数量典型用途A28,745IPv4地址解析TXT3,210文本记录常用于数据渗出AAAA1,023IPv6地址解析异常高比例的TXT记录请求值得警惕。使用以下过滤器提取可疑负载dns.qry.type 16 frame.len 5123. 应急响应与防御部署确认攻击特征后需要立即实施防御措施。iptables作为Linux内核级防火墙能提供实时流量控制。3.1 基础封禁策略针对已识别的攻击源IP进行封锁iptables -I INPUT -p udp --dport 53 -s 203.0.113.45 -j DROP iptables -I INPUT -p udp --dport 53 -s 198.51.100.22 -j DROP3.2 高级模式匹配对于随机子域名攻击单纯封IP可能不够。使用字符串匹配拦截特定模式iptables -I INPUT -p udp --dport 53 -m string \ --hex-string |07|example|03|com|00| --algo bm --from 40 --to 100 -j DROP这个规则会匹配所有包含example.com的DNS查询请求。其中--from 40从UDP载荷第40字节开始检查--to 100检查到100字节为止3.3 频率限制策略对于尚未确认的潜在攻击源可以采用限频措施iptables -A INPUT -p udp --dport 53 -m hashlimit \ --hashlimit-name dnslimit --hashlimit-mode srcip \ --hashlimit-above 50/sec --hashlimit-burst 100 -j DROP该规则限制每个源IP每秒不超过50次DNS查询突发允许100次。4. 防御效果验证与系统加固实施防御措施后需要验证效果并建立长期防护机制。4.1 实时监控方案部署持续监控脚本while true; do date /var/log/dns_monitor.log netstat -anu | grep :53 | awk {print $5} | cut -d: -f1 | sort | uniq -c | sort -nr /var/log/dns_monitor.log sleep 60 done4.2 DNS服务器优化修改BIND配置提高抗攻击能力options { rate-limit { responses-per-second 1000; window 15; }; max-clients-per-query 10; max-cache-size 1G; };4.3 架构级防护建议对于关键业务DNS服务建议部署以下防护层前端清洗使用Cloudflare等DNS防火墙服务流量整形在边界路由器实现QoS限速隐藏式防御对合法业务域名使用CNAME别名日志审计ELK收集分析DNS查询日志这场攻防战最终以成功阻断攻击告终但也暴露出我们在DNS安全防护上的盲点。事后我们建立了更完善的监控体系将关键指标纳入Prometheus监控并设置了分级告警机制。真正有效的防御不是单点技术而是形成检测、响应、溯源、加固的完整闭环。
Wireshark抓包排查DNS攻击实录:从tcpdump到iptables封禁的完整链路
发布时间:2026/5/21 18:39:12
Wireshark实战从DNS异常流量分析到iptables精准防御全记录那天凌晨3点值班手机突然响起刺耳的告警声——核心DNS服务器CPU使用率突破90%阈值。作为运维负责人我立刻意识到这绝非普通的业务高峰。登录服务器后top命令显示named进程消耗了异常高的资源而监控图表上的请求量曲线呈现出诡异的锯齿状波动。一场针对DNS服务的隐蔽攻击正在发生而接下来的6小时我将带你完整还原这场攻防战的全过程。1. 异常定位与数据捕获面对突发的性能问题首先要确定是业务激增还是恶意攻击。通过netstat -anu快速检查UDP 53端口的连接状态发现大量来自不同IP的ESTABLISHED连接这明显不符合DNS查询的短连接特性。使用tcpdump进行流量镜像是最直接的取证方式tcpdump -iany port 53 -nnv -w dns_attack.pcap -C 100 -W 10这个命令有几个关键参数-iany监听所有网络接口port 53限定DNS服务端口-C 100每100MB分割一个文件-W 10最多保留10个轮转文件提示在生产环境抓包时务必限制文件大小避免磁盘被撑满导致系统崩溃2. Wireshark高级分析技巧将捕获的pcap文件下载到本地后用Wireshark打开的第一件事是检查Statistics Protocol Hierarchy。这时发现DNS协议占比高达85%远超正常比例。接下来通过分层分析法逐步定位攻击特征2.1 攻击源定位在过滤栏输入dns.flags.response 0筛选所有DNS查询请求然后使用Statistics Endpoints功能IP地址包数量占比203.0.113.4512,45838.7%198.51.100.229,87230.6%192.0.2.675,32116.5%前三名IP发送了超过85%的请求这种分布明显异常。进一步分析这些IP的查询行为ip.src 203.0.113.45 dns.qry.name matches [a-z0-9]{16}\.example\.com发现大量符合随机字符串模式的子域名查询这是典型的DNS隧道攻击特征。2.2 攻击模式识别通过Statistics DNS查看查询类型分布查询类型数量典型用途A28,745IPv4地址解析TXT3,210文本记录常用于数据渗出AAAA1,023IPv6地址解析异常高比例的TXT记录请求值得警惕。使用以下过滤器提取可疑负载dns.qry.type 16 frame.len 5123. 应急响应与防御部署确认攻击特征后需要立即实施防御措施。iptables作为Linux内核级防火墙能提供实时流量控制。3.1 基础封禁策略针对已识别的攻击源IP进行封锁iptables -I INPUT -p udp --dport 53 -s 203.0.113.45 -j DROP iptables -I INPUT -p udp --dport 53 -s 198.51.100.22 -j DROP3.2 高级模式匹配对于随机子域名攻击单纯封IP可能不够。使用字符串匹配拦截特定模式iptables -I INPUT -p udp --dport 53 -m string \ --hex-string |07|example|03|com|00| --algo bm --from 40 --to 100 -j DROP这个规则会匹配所有包含example.com的DNS查询请求。其中--from 40从UDP载荷第40字节开始检查--to 100检查到100字节为止3.3 频率限制策略对于尚未确认的潜在攻击源可以采用限频措施iptables -A INPUT -p udp --dport 53 -m hashlimit \ --hashlimit-name dnslimit --hashlimit-mode srcip \ --hashlimit-above 50/sec --hashlimit-burst 100 -j DROP该规则限制每个源IP每秒不超过50次DNS查询突发允许100次。4. 防御效果验证与系统加固实施防御措施后需要验证效果并建立长期防护机制。4.1 实时监控方案部署持续监控脚本while true; do date /var/log/dns_monitor.log netstat -anu | grep :53 | awk {print $5} | cut -d: -f1 | sort | uniq -c | sort -nr /var/log/dns_monitor.log sleep 60 done4.2 DNS服务器优化修改BIND配置提高抗攻击能力options { rate-limit { responses-per-second 1000; window 15; }; max-clients-per-query 10; max-cache-size 1G; };4.3 架构级防护建议对于关键业务DNS服务建议部署以下防护层前端清洗使用Cloudflare等DNS防火墙服务流量整形在边界路由器实现QoS限速隐藏式防御对合法业务域名使用CNAME别名日志审计ELK收集分析DNS查询日志这场攻防战最终以成功阻断攻击告终但也暴露出我们在DNS安全防护上的盲点。事后我们建立了更完善的监控体系将关键指标纳入Prometheus监控并设置了分级告警机制。真正有效的防御不是单点技术而是形成检测、响应、溯源、加固的完整闭环。
相关文章
TrafficMonitor插件宝典:打造你的全能桌面监控中心
TrafficMonitor插件宝典:打造你的全能桌面监控中心 【免费下载链接】TrafficMonitorPlugins 用于TrafficMonitor的插件 项目地址: https://gitcode.com/gh_mirrors/tr/TrafficMonitorPlugins 想要在桌面上实时监控股票行情、硬件状态、天气信息,却…
从装饰器原理到实战:手把手教你用TypeScript为NestJS方法实现一个‘网络代理’
从装饰器原理到实战:手把手教你用TypeScript为NestJS方法实现一个‘网络代理’ 在Node.js生态中,装饰器(Decorator)作为一种元编程工具,正逐渐从实验性特性转变为现代框架的核心支柱。NestJS正是这一趋势的典型代表—…
别再被‘pip不是内部命令’搞懵了!Python新手必看的pip安装与修复保姆级教程(附ensurepip用法)
Python包管理革命:从pip失效到ensurepip的深度实践指南 为什么你的pip命令突然"罢工"了? 刚接触Python的新手们常常会遇到一个令人抓狂的问题——昨天还能正常使用的pip命令,今天突然提示"不是内部或外部命令"。这就像突…
taotoken cli工具使用教程一键配置多开发环境
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 Taotoken CLI 工具使用教程:一键配置多开发环境 对于需要频繁切换模型或管理多个项目 API 配置的开发者来说࿰…
本地视频怎样去水印?2026年实用去水印方法对比与软件推荐
本地视频去水印的需求很常见,但不同的水印类型和处理场景往往需要不同的解决方案。从简单的裁剪去除到复杂的AI识别修复,本地视频去水印方法有很多种。本文详细介绍几种实用的本地视频去水印方法,帮助你快速找到最适合的方式。 本地视频去水印…
罗技鼠标宏逆向工程:PUBG后坐力补偿系统的架构设计与实现
罗技鼠标宏逆向工程:PUBG后坐力补偿系统的架构设计与实现 【免费下载链接】logitech-pubg PUBG no recoil script for Logitech gaming mouse / 绝地求生 罗技 鼠标宏 项目地址: https://gitcode.com/gh_mirrors/lo/logitech-pubg 在竞技射击游戏中ÿ…
工业领域常用的仿真软件有哪些?
工业仿真领域,达索系统&凯思软件拥有完整的仿真产品线,覆盖结构有限元、流体、电磁、多物理场等核心场景,凯思软件作为达索系统核心代理商,可提供全系列仿真软件的授权、技术支持与行业解决方案。一、结构与非线性有限元仿真S…
终极免费视频压缩解决方案:CompressO让你的大文件瞬间变小90%
终极免费视频压缩解决方案:CompressO让你的大文件瞬间变小90% 【免费下载链接】compressO Convert any video/image into a tiny size. 100% free & open-source. Available for Mac, Windows & Linux. 项目地址: https://gitcode.com/gh_mirrors/co/comp…
终极指南:3种Python方法免费获取百度网盘高速下载直链
终极指南:3种Python方法免费获取百度网盘高速下载直链 【免费下载链接】baidu-wangpan-parse 获取百度网盘分享文件的下载地址 项目地址: https://gitcode.com/gh_mirrors/ba/baidu-wangpan-parse 你是否厌倦了百度网盘缓慢的下载速度?今天&#…
别只刷固件了!用MissionPlanner搞定四旋翼‘飘移’问题,校准compass_mot全流程
四旋翼飞行品质优化:MissionPlanner高级校准实战指南 当你的四旋翼无人机已经能够稳定起飞,却在定高模式下出现难以解释的飘移现象时,这往往意味着需要进入更深层次的飞控调校阶段。许多飞手在完成基础校准后便止步不前,殊不知电机…
科研学术篇---论文搜索方法
高效搜集和研读论文,是构建扎实知识体系的基石。要想做到“高效”与“高质”并重,需要把整个过程当作一个闭环系统来优化——从目标锁定、来源筛选、检索策略,到快速粗筛、深度内化、持续追踪,每一步都有对应的工具和心法。下面逐…
YOLOv11城市道路摩托车与自行车目标检测数据集-1569张-motorcycle-1_2
YOLOv11城市道路摩托车与自行车目标检测数据集 📊 数据集基本信息 目标类别: [‘bike’, ‘motorcycle’]中文类别:[‘自行车’, ‘摩托车’]训练集:1374 张验证集:130 张测试集:65 张总计:1569…
【实用小程序】超轻量级文件上传下载中心 (File Download Server)
站内源码及jar包下载 一、项目概述 文件下载中心一个基于 Java 内置 HTTP 服务器(com.sun.net.httpserver)构建的轻量级文件管理服务。它零第三方依赖,单 JAR 包即可运行,适合在内网环境或临时场景中快速搭建文件共享站点。 你的团队需要临时共享一批日志文件或交付物,…
py每日spider案例之某website之xin东方选课搜索接口(难度一般 扣取代码即可)
加密位置: 逆向接口参数: 逆向接口: const g = globalThis; g.window = g; g.self = g; g.location = {<
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南 【免费下载链接】markor Text editor - Notes & ToDo (for Android) - Markdown, todo.txt, plaintext, math, .. 项目地址: https://gitcode.com/gh_mirrors/ma/markor 在移动设备上寻找一款…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…