Open CallMeR opened 1 year ago
随便查了一下2403:300:a41:d01::d 对应的是 api-edge.icloud.com。 ros的ipv6我不熟,但单看日志的话似乎是smartdns所在的服务器在对icloud进行ddos?
随便查了一下2403:300:a41:d01::d 对应的是 api-edge.icloud.com。 ros的ipv6我不熟,但单看日志的话似乎是smartdns所在的服务器在对icloud进行ddos?
我看了下昨天的日志,不仅是 icloud 的地址:
14:48:01 - [ddos-ipv6] detect-ddos: in:bridge1 out:pppoe-out1, connection-state:new src-mac 7e:xx:xx:xx:xx:xx, proto TCP (SYN), [240e:xx:xx:xx:xx:xxff:fexx:xx]:58530->[2403:300:a41:d04::10]:80, len 40
17:48:22 - [ddos-ipv6] detect-ddos: in:bridge1 out:pppoe-out1, connection-state:new src-mac 7e:xx:xx:xx:xx:xx, proto TCP (SYN), [240e:xx:xx:xx:xx:xxff:fexx:xx]:54532->[2620:149:208:305::1d]:80, len 40
17:48:22 - [ddos-ipv6] detect-ddos: in:bridge1 out:pppoe-out1, connection-state:new src-mac 7e:xx:xx:xx:xx:xx, proto TCP (SYN), [240e:xx:xx:xx:xx:xxff:fexx:xx]:58270->[2620:149:149:102a::7]:80, len 40
17:48:22 - [ddos-ipv6] detect-ddos: in:bridge1 out:pppoe-out1, connection-state:new src-mac 7e:xx:xx:xx:xx:xx, proto TCP (SYN), [240e:xx:xx:xx:xx:xxff:fexx:xx]:39994->[2620:149:208:430c::4]:80, len 40
17:48:22 - [ddos-ipv6] detect-ddos: in:bridge1 out:pppoe-out1, connection-state:new src-mac 7e:xx:xx:xx:xx:xx, proto TCP (SYN), [240e:xx:xx:xx:xx:xxff:fexx:xx]:59070->[2620:149:149:1031::8]:80, len 40
我内网一共有 2 台 DNS 服务器,一台装的是 SmartDNS 另外一台装的是 Adguard Home ,并且仅运行了 DNS 服务。
初步研究发现,SmartDNS 会出现这个情况,Adguard Home 不会发生这个情况(但是 Adguard Home 的乐观缓存没开)。
应该是在 SmartDNS 缓存预取
或者 缓存过期
时会触发的这个现象,而且都是 80
端口,怀疑和 speed-check-mode
prefetch-domain
相关?
感觉是测速
问题现象
我用 Debian 12 服务器做了一个内网的 DNS ,但该服务器周期性出现类似 DDoS 现象。
运行环境
固件型号 - Debian 12 x86_64 Server
运营商 - 无关
smartdns来源以及版本 - smartdns.1.2023.05.07-1641.x86_64-linux-all.tar.gz
涉及的配置 (注意去除个人相关信息)
重现步骤
tcp-syncookies
:其中关于
dst-limit
的定义如下:其中
7e:xx:xx:xx:xx:xx
为 DNS 服务器的 MAC 地址,240e:xx:xx:xx:xx:xxff:fexx:xx
为 DNS 服务器的 IPv6 地址。这说明,这个 DNS 服务器,在这 10 秒中内,对同一个 IPv6 目标地址发出了超过 288 个 TCP (SYN) 包。
这个现象只在 IPv6 中出现,而且具有周期性,稳定出现。
Debian 12 的额外内核参数如下: