дамп лога dns Count Name Group ----- ---- ----- 5469 216.239.38.110 {216.239.38.110, 216.239.38.110, 216.239.38.110, 216.239.38.110...} 4406 216.239.38.107 {216.239.38.107, 216.239.38.107, 216.239.38.107, 216.239.38.107...} 3722 216.239.38.106 {216.239.38.106, 216.239.38.106, 216.239.38.106, 216.239.38.106...} 3459 216.239.38.109 {216.239.38.109, 216.239.38.109, 216.239.38.109, 216.239.38.109...} 2824 216.239.38.108 {216.239.38.108, 216.239.38.108, 216.239.38.108, 216.239.38.108...} 2103 216.239.36.106 {216.239.36.106, 216.239.36.106, 216.239.36.106, 216.239.36.106...} 2093 216.239.36.108 {216.239.36.108, 216.239.36.108, 216.239.36.108, 216.239.36.108...} 1896 216.239.36.109 {216.239.36.109, 216.239.36.109, 216.239.36.109, 216.239.36.109...} 1677 216.239.32.110 {216.239.32.110, 216.239.32.110, 216.239.32.110, 216.239.32.110...} 1206 216.239.32.107 {216.239.32.107, 216.239.32.107, 216.239.32.107, 216.239.32.107...} $content = Get-Content "C:\DNS_DEBUG.log" -ErrorAction SilentlyContinue $content | Where-Object { $_ -match "UDP Rcv" } | ForEach-Object { if ($_ -match "(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})") { $matches[1] } } | Group-Object | Sort-Object Count -Descending | Select-Object -First 10 Read-Host "Нажмите Enter для выхода"

Представленный вами скрипт PowerShell анализирует файл

C:\DNS_DEBUG.log, извлекает IP-адреса из строк, содержащих «UDP Rcv» (входящие UDP-пакеты), группирует их по частоте появления и выводит топ-10 самых активных отправителей.

Анализ результатов дампа

Все IP-адреса в вашем списке принадлежат Google LLC. Конкретно эти диапазоны используются инфраструктурой Google Public DNS и сервисом Google Domains.

216.239.38.x: Эти адреса часто соответствуют облачным именам серверов Google (например, ns-cloud-e4.googledomains.com).
216.239.36.x: Используются для Google Domains (например, ns-cloud-a3.googledomains.com).
216.239.32.x: Также относятся к неймсерверам Google (например, ns-cloud-e1.googledomains.com).

Что это означает?

Большое количество входящих UDP-пакетов (UDP Rcv) от этих адресов на ваш DNS-сервер обычно указывает на одно из двух:

Нормальная работа: Если ваш сервер является полномочным (authoritative) для каких-то доменов, Google DNS просто присылает запросы для разрешения имен.
DNS-рекурсия: Если ваш сервер настроен как открытый рекурсор, сторонние системы (через Google DNS) могут использовать его для разрешения имен, что создает лишнюю нагрузку.

Рекомендации по скрипту

Ваш код рабочий, но его можно немного оптимизировать для обработки больших логов, чтобы не загружать весь файл в память сразу:

powershell

# Более быстрый вариант для больших файлов
$logPath = "C:\DNS_DEBUG.log"
if (Test-Path $logPath) {
    Select-String -Path $logPath -Pattern "UDP Rcv" | ForEach-Object {
        if ($_.Line -match "(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})") {
            $Matches[1]
        }
    } | Group-Object | Sort-Object Count -Descending | Select-Object -First 10
}

Используйте код с осторожностью.

Вы хотите заблокировать эти адреса или вам нужно детально разобрать, какие именно домены они запрашивают?

Создание общедоступной ссылки…

216.239.32.110 | Mountain View, AS15169, & VPN Not Detected
216.239. 32.110 | Mountain View, AS15169, & VPN Not Detected - IPinfo.io. * 216.0.0.0/8. * 216.239.0.0/16. * 216.239.32.0/24. * 21...
IPinfo
216.239.36.106 | Mountain View, AS15169, & VPN Not Detected
216.239. 36.106 | Mountain View, AS15169, & VPN Not Detected - IPinfo.io. ... * 216.0.0.0/8. * 216.239.0.0/16. * 216.239.36.0/24. ...
IPinfo
216.239.38.110 | Mountain View, AS15169, & VPN Not Detected
216.239. 38.110 | Mountain View, AS15169, & VPN Not Detected - IPinfo.io. * 216.0.0.0/8. * 216.239.0.0/16. * 216.239.38.0/24. * 21...
IPinfo

Показать все

а возможно дописать что бы еще и доменные имена показал

Да, это можно сделать. Однако есть нюанс: в стандартном логе DNS-отладки (DNS Debug Log) Windows IP-адрес отправителя и запрашиваемое имя (Query) обычно находятся в

одной строке, но в разных частях.

Чтобы скрипт вывел не просто IP, а связку «IP-адрес — Домен», нужно изменить логику захвата данных.

Обновленный скрипт

Этот вариант ищет строку, извлекает из неё IP и доменное имя, а затем группирует их вместе:

powershell

$logPath = "C:\DNS_DEBUG.log"

if (Test-Path $logPath) {
    # Читаем файл построчно, чтобы не перегружать RAM
    Get-Content $logPath -ErrorAction SilentlyContinue | Where-Object { $_ -match "UDP Rcv" } | ForEach-Object {
        # Регулярное выражение: 
        # 1-я группа: IP-адрес
        # 2-я группа: Доменное имя (обычно идет после типа запроса, например [0001   A   (7)google(3)com(0)])
        if ($_ -match "(\d{1,3}(?:\.\d{1,3}){3}).*\]\s+\(?\d+\)?([a-zA-Z0-9\-\.]+)\(") {
            $ip = $Matches[1]
            $domain = $Matches[2].Trim('.') # Очищаем точки по краям
            
            # Создаем объект для группировки
            [PSCustomObject]@{
                IP     = $ip
                Domain = $domain
            }
        }
    } | Group-Object IP, Domain | Sort-Object Count -Descending | Select-Object -First 15 | ForEach-Object {
        [PSCustomObject]@{
            Count  = $_.Count
            IP     = $_.Values[0]
            Domain = $_.Values[1]
        }
    } | Format-Table -AutoSize
} else {
    Write-Host "Файл лога не найден по пути $logPath" -ForegroundColor Red
}

Read-Host "Нажмите Enter для выхода"

Используйте код с осторожностью.

Что изменилось:

Регулярное выражение: Теперь оно ищет не только IP, но и текст внутри скобок или после идентификаторов запроса (в логах DNS имена часто пишутся как (6)google(3)com).
Группировка по двум полям: Скрипт теперь считает уникальные пары «кто спросил + что спросил».
Форматирование: Вывод в виде таблицы Format-Table для удобства чтения.

Важный момент: Если в вашем логе доменные имена отображаются в странном формате (например, с цифрами в скобках типа (7)example(3)com), скажите об этом — я подправлю регулярное выражение именно под ваш формат записи.

Попробуем запустить этот вариант или нужно отфильтровать только запросы от конкретного IP?

Создание общедоступной ссылки…

Показать все

02.04.2026 1:40:40 4BE4 PACKET 000001BAF9792D10 UDP Snd 216.239.34.110 4331 Q [0000 NOERROR] ALL (12)open-systems(3)com(0) 02.04.2026 1:40:40 4BE4 PACKET 000001BAF9792D10 UDP Snd 216.239.32.110 4331 Q [0000 NOERROR] ALL (12)open-systems(3)com(0) 02.04.2026 1:40:40 4BE4 PACKET 000001BAF9792D10 UDP Snd 216.239.36.110 4331 Q [0000 NOERROR] ALL (12)open-systems(3)com(0) 02.04.2026 1:40:40 3710 PACKET 000001BAEB07CC90 UDP Rcv 201.149.125.224 0ebd Q [0001 D NOERROR] TXT (8)vanguard(3)com(0) 02.04.2026 1:40:40 3710 PACKET 000001BAEB07CC90 UDP Snd 201.149.125.224 0ebd R Q [8081 DR NOERROR] TXT (8)vanguard(3)com(0) 02.04.2026 1:40:40 45D0 PACKET 000001BAD89A8520 UDP Rcv 177.75.230.88 91f6 Q [0001 D NOERROR] TXT (7)acciona(3)com(0) 02.04.2026 1:40:40 45D0 PACKET 000001BAD89A8520 UDP Snd 177.75.230.88 91f6 R Q [8081 DR NOERROR] TXT (7)acciona(3)com(0) 02.04.2026 1:40:40 45D0 PACKET 000001BAE7DE71C0 UDP Rcv 177.75.232.247 166e Q [0001 D NOERROR] ALL (9)senderopc(3)com(0) 02.04.2026 1:40:40 45D0 PACKET 000001BAA7D7F980 UDP Snd 216.239.38.110 7851 Q [0000 NOERROR] ALL (9)senderopc(3)com(0) 02.04.2026 1:40:40 45D0 PACKET 000001BADE32C080 UDP Rcv 177.75.232.68 53fc Q [0001 D NOERROR] ALL (8)registry(2)eu(0) 02.04.2026 1:40:40 45D0 PACKET 000001BADE32C080 UDP Snd 177.75.232.68 53fc R Q [8081 DR NOERROR] ALL (8)registry(2)eu(0) 02.04.2026 1:40:40 45D0 PACKET 000001BAE21F88E0 UDP Rcv 177.75.228.233 8d37 Q [0001 D NOERROR] ALL (10)wunderkind(2)co(0) 02.04.2026 1:40:40 45D0 PACKET 000001BAEF2B1130 UDP Snd 216.239.38.110 8889 Q [0000 NOERROR] ALL (10)wunderkind(2)co(0) 02.04.2026 1:40:40 45D0 PACKET 000001BAEA671890 UDP Rcv 177.75.236.111 7416 Q [0001 D NOERROR] ALL (6)rdfnet(3)com(2)br(0) 02.04.2026 1:40:40 45D0 PACKET 000001BAEA671890 UDP Snd 177.75.236.111 7416 R Q [8081 DR NOERROR] ALL (6)rdfnet(3)com(2)br(0) 02.04.2026 1:40:40 45D0 PACKET 000001BAF0EB7D40 UDP Rcv 177.75.236.249 a875 Q [0001 D NOERROR] ALL (13)jrmotorcycles(2)co(2)nz(0) 02.04.2026 1:40:40 45D0 PACKET 000001BADA8F88D0 UDP Snd 216.239.38.107 1b3d Q [0000 NOERROR] ALL (13)jrmotorcycles(2)co(2)nz(0)

Спасибо за пример лога! Формат ясен: доменные имена записаны с указанием длины меток в скобках, например

(12)open-systems(3)com(0).

Я обновил регулярное выражение, чтобы оно корректно извлекало IP и превращало формат (12)domain(3)com в читаемый domain.com.

Скрипт для анализа IP и Доменов:

powershell

$logPath = "C:\DNS_DEBUG.log"

if (Test-Path $logPath) {
    Get-Content $logPath -ErrorAction SilentlyContinue | ForEach-Object {
        # Регулярное выражение ищет:
        # 1. Направление (UDP Rcv/Snd)
        # 2. IP адрес
        # 3. Домен в скобках в конце строки
        if ($_ -match "UDP (Rcv|Snd)\s+(\d{1,3}(?:\.\d{1,3}){3}).*\((?:\d+)\)(.*)\(0\)") {
            $direction = $Matches[1]
            $ip = $Matches[2]
            # Убираем цифры в скобках и заменяем их на точки
            $rawDomain = $Matches[3]
            $cleanDomain = [regex]::Replace($rawDomain, "\(\d+\)", ".")
            
            [PSCustomObject]@{
                Direction = $direction
                IP        = $ip
                Domain    = $cleanDomain
            }
        }
    } | Group-Object IP, Domain | Sort-Object Count -Descending | Select-Object -First 20 | ForEach-Object {
        [PSCustomObject]@{
            Count  = $_.Count
            IP     = $_.Group[0].IP
            Domain = $_.Group[0].Domain
            # Если нужно видеть, были это только входящие или исходящие
            Types  = ($_.Group.Direction | Select-Object -Unique) -join ", "
        }
    } | Format-Table -AutoSize
} else {
    Write-Host "Файл не найден" -ForegroundColor Red
}

Read-Host "Нажмите Enter для завершения"

Используйте код с осторожностью.

Что видно из ваших данных:

Судя по фрагменту, ваш DNS-сервер работает как рекурсивный преобразователь (или кэширующий резолвер).

UDP Rcv: Входящие запросы от разных IP (например, из Бразилии 177.75.x.x).
UDP Snd: Ваш сервер пересылает эти запросы дальше на сервера Google (216.239.x.x), чтобы получить ответ для клиента.

Обратите внимание: Если эти запросы от 177.75.x.x (Бразилия) и 201.149.x.x (Мексика) вам не знакомы, возможно, ваш DNS-сервер открыт для всего интернета (Open Resolver), и его используют посторонние люди.

Хотите добавить фильтрацию, чтобы увидеть запросы только от внешних IP, исключая Google?

Создание общедоступной ссылки…

Показать все

получается наплывами то поднимается трафик то опускается это возможно из за работы днс он в рекурсии работает публичный для всех

Да, судя по логу, ваш сервер работает как

Open Resolver (открытый рекурсивный DNS). Это означает, что любой компьютер из интернета может отправить вам запрос, а ваш сервер потратит свои ресурсы (процессор и канал), чтобы найти ответ у Google или корневых серверов.

«Наплывы» трафика в такой конфигурации обычно объясняются двумя причинами:

DNS Amplification Attack (Усиление): Злоумышленники используют ваш сервер как «усилитель» для DDoS-атак. Они подделывают свой IP-адрес на адрес жертвы и шлют вам короткий запрос (например, TXT или ANY), а ваш сервер отправляет жертве огромный ответ. В вашем логе как раз видны запросы TXT и ALL (эквивалент ANY) — это классика таких атак.
Сканирование ботнетами: Боты постоянно ищут открытые DNS-серверы, чтобы добавить их в свои списки для будущих атак.

Что с этим делать?

Если этот DNS-сервер предназначен только для вашей локальной сети или офиса:

Ограничьте доступ на брандмауэре (Firewall): Разрешите входящий UDP порт 53 только из ваших доверенных подсетей.
Настройте прослушивание: В свойствах DNS-сервера (вкладка «Интерфейсы») укажите только внутренний IP-адрес, а не «Все IP-адреса».
Отключите рекурсию для внешних запросов: В свойствах сервера на вкладке «Дополнительно» можно поставить галочку «Отключить рекурсию», но это может сломать интернет вашим пользователям, если не настроены пересыльщики (Forwarders).

Хотите модифицировать скрипт, чтобы он показал, какие именно IP-адреса чаще всего присылают запросы TXT или ALL? Это поможет точно вычислить адреса, участвующие в атаке.

Создание общедоступной ссылки…

Показать все

может блокировать any например ?

Да, блокировка запросов типа

ANY (в вашем логе они отображаются как ALL) — это стандартная практика для защиты DNS-сервера, так как именно этот тип запросов чаще всего используется для усиления (amplification) DDoS-атак.

Вот основные способы, как это сделать:

1. Встроенная защита в Windows Server (Response Rate Limiting — RRL)

Если у вас Windows Server 2016 и выше, самый правильный способ — настроить RRL. Он не блокирует всех подряд, а ограничивает количество ответов на подозрительные запросы.

Выполните в PowerShell от имени администратора:

powershell

# Включаем ограничение скорости ответов
Set-DnsServerResponseRateLimiting -Enforce $True -ResponsesPerSecond 5 -ErrorsPerSecond 5

Используйте код с осторожностью.

Это позволит серверу отвечать обычным клиентам, но «задушит» атакующих, которые шлют тысячи запросов в секунду.

2. Политики DNS (DNS Policies) — Полная блокировка ANY

В Windows Server можно создать политику, которая будет просто сбрасывать (Drop) все запросы типа ANY.

powershell

# Создаем правило: если тип запроса ANY (ALL), то игнорировать его
Add-DnsServerQueryResolutionPolicy -Name "BlockANY" -Action IGNORE -QType "EQ,ANY"

Используйте код с осторожностью.

После этого сервер перестанет отвечать на запросы ANY вообще.

3. Ограничение рекурсии (Самый эффективный метод)

Если ваш сервер должен обслуживать только вашу сеть, лучше всего запретить рекурсию для всех «чужих» IP-адресов.

Создайте список ваших доверенных подсетей (например, 192.168.1.0/24):
powershell
Add-DnsServerClientSubnet -Name "InternalSubnet" -IPv4Subnet "192.168.1.0/24"
Используйте код с осторожностью.
Скопировано в буфер обмена

Разрешите рекурсию только для этой подсети:

powershell

# Это требует настройки зон и политик рекурсии, что чуть сложнее, 
# но полностью закрывает сервер от внешнего мира.

Используйте код с осторожностью.

Как проверить, помогло ли?

Запустите обновленный скрипт (который мы писали выше) через 10-15 минут после ввода команд. Если в столбце Domain количество записей с типом ALL резко упадет или они исчезнут из UDP Snd (исходящих), значит, защита работает.

Вам помочь составить команду для блокировки конкретных IP-адресов, которые чаще всего мелькают в логе?

Создание общедоступной ссылки…

Показать все

# Создаем правило: если тип запроса ANY (ALL), то игнорировать его Add-DnsServerQueryResolutionPolicy -Name "BlockANY" -Action IGNORE -QType "EQ,ANY" а как просмотреть список блокировок и как обратно вернуть по умолчанию

Для управления политиками разрешения DNS в Windows Server используются соответствующие командлеты PowerShell. Вот как просмотреть текущие правила и при необходимости удалить их.

1. Как просмотреть список политик

Чтобы увидеть все созданные политики (включая вашу BlockANY), используйте команду:

powershell

Get-DnsServerQueryResolutionPolicy

Используйте код с осторожностью.

Она покажет имя политики, её состояние (Enabled), действие (Action) и условия фильтрации.

2. Как временно отключить блокировку

Если вы не хотите удалять правило, а просто хотите проверить, в нем ли дело, его можно временно деактивировать:

powershell

Disable-DnsServerQueryResolutionPolicy -Name "BlockANY"

Используйте код с осторожностью.

(Чтобы включить обратно: Enable-DnsServerQueryResolutionPolicy -Name "BlockANY" )

3. Как удалить правило (вернуть «как было»)

Чтобы полностью удалить политику и вернуть стандартное поведение сервера (когда он отвечает на запросы ANY), выполните:

powershell

Remove-DnsServerQueryResolutionPolicy -Name "BlockANY"

Используйте код с осторожностью.

Система попросит подтверждение (можно добавить -Force, чтобы удалить без вопроса).

Полезный совет:

Если вы решите оставить блокировку ANY, но заметите, что она мешает каким-то вашим внутренним сервисам, вы можете сделать правило более точным — например, блокировать ANY только для внешних запросов, разрешив его для своей сети:

powershell

# Пример: Блокировать ANY для всех, КРОМЕ вашей подсети (если она создана в ClientSubnet)
Add-DnsServerQueryResolutionPolicy -Name "BlockExternalANY" -Action IGNORE -QType "EQ,ANY" -ClientSubnet "NE,InternalSubnet"

Используйте код с осторожностью.

(Где NE означает "Not Equal" — не равно вашей подсети).

Вам помочь проверить, созданы ли у вас подсети клиентов (ClientSubnet) для таких точных правил?

Создание общедоступной ссылки…

Показать все

>> Add-DnsServerQueryResolutionPolicy -Name "BlockExternalANY" -Action IGNORE -QType "EQ,ANY" -ClientSubnet "NE,InternalSubnet" >> # Пример: Блокировать ANY для всех, КРОМЕ вашей подсети (если она создана в ClientSubnet) Add-DnsServerQueryResolutionPolicy : Запись подсети клиента InternalSubnet не существует на DNS-сервере VSHOST. строка:2 знак:1 + Add-DnsServerQueryResolutionPolicy -Name "BlockExternalANY" -Action I ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (BlockExternalANY:root/Microsoft/...esolutionPolicy) [Add-DnsServerQueryRe solutionPolicy], CimException + FullyQualifiedErrorId : WIN32 9976,Add-DnsServerQueryResolutionPolicy

Ошибка возникла потому, что сервер не знает, какие IP-адреса считать «внутренними» (

InternalSubnet). Чтобы это правило заработало, нужно сначала создать объект подсети, а затем применить политику.

Вот правильный порядок действий:

1. Создаем список ваших внутренних подсетей

Замените 192.168.1.0/24 на вашу реальную локальную сеть (или несколько сетей через запятую).

powershell

Add-DnsServerClientSubnet -Name "InternalSubnet" -IPv4Subnet "192.168.1.0/24", "10.0.0.0/8"

Используйте код с осторожностью.

2. Теперь применяем политику блокировки ANY для всех ОСТАЛЬНЫХ

Параметр -ClientSubnet "NE,InternalSubnet" буквально означает: «Применить правило, если отправитель НЕ (Not Equal) из списка InternalSubnet».

powershell

Add-DnsServerQueryResolutionPolicy -Name "BlockExternalANY" -Action IGNORE -QType "EQ,ANY" -ClientSubnet "NE,InternalSubnet"

Используйте код с осторожностью.

Как проверить, что подсеть создалась?

Если вы не уверены, какие подсети уже есть в базе DNS, выполните:

powershell

Get-DnsServerClientSubnet

Используйте код с осторожностью.

Как удалить подсеть (если ошиблись в адресе)?

powershell

Remove-DnsServerClientSubnet -Name "InternalSubnet"

Используйте код с осторожностью.

Почему это лучше простого блока?

С такой настройкой:

Внешние боты при запросе ANY будут получать «тишину» (сервер просто сбросит пакет).
Ваши админы и сервисы внутри сети по-прежнему смогут выполнять любые запросы для диагностики.

Подсказать, как добавить в список разрешенных сразу несколько разных диапазонов IP (например, ваш домашний IP или офисный)?

Создание общедоступной ссылки…

Показать все

а dot останется работать ?

Да,

DoT (DNS over TLS) продолжит работать, но с важными оговорками в зависимости от того, как именно он настроен:

1. Как это влияет на запросы

Политика, которую мы создали (BlockExternalANY), блокирует только тип запроса ANY (все записи сразу). Обычные запросы, которые чаще всего использует DoT и стандартный DNS (типа A, AAAA, MX, TXT), будут работать как обычно.

2. Если ваш сервер выступает как DoT-клиент (Forwarder)

Если ваш Windows DNS пересылает запросы на Google или Cloudflare через DoT:

Эта политика никак не помешает серверу общаться с ними. Она фильтрует только входящие запросы от клиентов к вам.

3. Если клиенты подключаются к вам по DoT

Здесь есть технический нюанс:

Стандартные политики DNS в Windows Server (Query Resolution Policies) работают на уровне обработки DNS-пакетов.
Если запрос типа ANY придет внутри зашифрованного TLS-туннеля, DNS-сервер сначала расшифрует его, а затем применит те же правила.
Следовательно, если внешний клиент попробует запросить ANY через DoT, политика также его заблокирует (если IP клиента не входит в ваш «белый список» InternalSubnet).

Итог:

DoT не сломается. Веб-серфинг, почта и работа приложений не пострадают, так как они почти никогда не используют тип запроса ANY. Сломаются только специфические инструменты диагностики (например, nslookup -type=any) для внешних пользователей.

Хотите проверить, какие типы запросов, кроме ANY, сейчас создают нагрузку на ваш сервер? Мы можем дополнить скрипт анализа лога, чтобы он вывел статистику по типам (A, AAAA, TXT, ANY).

Создание общедоступной ссылки…

Показать все

хочу проверить какие еще кроме ANY

Чтобы увидеть полную картину и понять, не атакуют ли вас другими типами запросов (например, тяжелыми

TXT или MX), мы немного модифицируем регулярное выражение в скрипте.

Теперь скрипт будет вытаскивать Тип запроса (A, AAAA, TXT, ANY/ALL) и группировать их.

Скрипт для анализа типов запросов:

powershell

$logPath = "C:\DNS_DEBUG.log"

if (Test-Path $logPath) {
    Write-Host "Анализирую лог, подождите..." -ForegroundColor Cyan
    
    Get-Content $logPath -ErrorAction SilentlyContinue | Where-Object { $_ -match "UDP Rcv" } | ForEach-Object {
        # Ищем IP, Тип запроса (после скобок []) и Домен
        if ($_ -match "UDP Rcv\s+(\d{1,3}(?:\.\d{1,3}){3}).*\]\s+([A-Z*]+)\s+\((?:\d+)\)(.*)\(0\)") {
            $rawDomain = $Matches[3]
            [PSCustomObject]@{
                IP     = $Matches[1]
                Type   = $Matches[2]
                Domain = [regex]::Replace($rawDomain, "\(\d+\)", ".")
            }
        }
    } | Group-Object Type, Domain | Sort-Object Count -Descending | Select-Object -First 20 | ForEach-Object {
        [PSCustomObject]@{
            Count  = $_.Count
            Type   = $_.Group[0].Type
            Domain = $_.Group[0].Domain
            # Пример IP, которые это запрашивают (первые 3 уникальных)
            TopClients = ($_.Group.IP | Select-Object -Unique -First 3) -join ", "
        }
    } | Format-Table -AutoSize
} else {
    Write-Host "Файл лога не найден." -ForegroundColor Red
}

Read-Host "Нажмите Enter для выхода"

Используйте код с осторожностью.

На что обратить внимание в результатах:

Тип ALL (ANY): Если после применения политики BlockExternalANY в колонке UDP Snd (если вы ее добавите) они исчезли, а в UDP Rcv остались — значит, политика работает (запросы приходят, но сервер их игнорирует).
Тип TXT: Часто используется в паре с ANY для атак усиления, так как ответы TXT (например, записи SPF или DKIM) могут быть очень длинными. Если видите аномально много запросов TXT от внешних IP к одному и тому же домену — это атака.
Тип A / AAAA: Это обычные запросы. Если их тысячи от одного IP к разным доменам — это может быть сканирование или работа ботнета.

Как заблокировать другие типы (если нужно)

Если вы увидели, что вас «заливают» запросами типа TXT от внешних адресов, вы можете расширить политику:

powershell

# Добавляем TXT в список блокировки для внешних сетей
Set-DnsServerQueryResolutionPolicy -Name "BlockExternalANY" -QType "EQ,ANY,TXT"

Используйте код с осторожностью.

Какие типы запросов сейчас занимают первые строчки в вашем топе? Напишите, и я подскажу, норма это или подозрительная активность.

Создание общедоступной ссылки…

Показать все

на сервере есть еще почта ANY запрет не повлияет на чтение записей SPF или DKIM

Хороший вопрос. Короткий ответ:

нет, не повлияет, если вы настроили правило именно так, как мы обсуждали (блокировка типа ANY).

Вот почему ваша почта останется в безопасности:

Разные типы запросов:
- Когда другой почтовый сервер (например, Gmail) хочет проверить ваш SPF, он шлет запрос типа TXT.
- Когда он проверяет DKIM, он тоже шлет запрос типа TXT.
- Когда он хочет узнать, куда доставить письмо, он шлет запрос MX.
- Правило BlockExternalANY блокирует только запросы, где явно указан тип ANY (запрос всех записей разом). Запросы типов TXT, MX, A будут обрабатываться сервером как обычно.
Запросы ANY в реальной жизни:
Почтовые сервера почти никогда не используют ANY для проверки SPF или MX. Это считается плохим тоном и устаревшей практикой, так как ответ получается слишком тяжелым. Современные системы всегда запрашивают конкретный тип записи.
Важный нюанс (если вы решите блокировать TXT):
Если вы увидите атаку через TXT и решите добавить этот тип в блокировку (командой Set-DnsServerQueryResolutionPolicy -QType "EQ,ANY,TXT"), вот тогда почта сломается, так как SPF и DKIM перестанут быть видны извне.

Резюме:

Блокировка ANY — безопасна для почты.
Блокировка TXT — опасна (сломает SPF/DKIM).
Блокировка MX — опасна (почта перестанет приходить).

Проверьте вывод последнего скрипта: если в колонке Type вы видите много записей TXT от внешних IP, но к чужим доменам (не вашим), значит, ваш сервер используют как рекурсор для атаки на другие компании.

Какой домен сейчас чаще всего встречается в ваших логах в паре с типом TXT или ALL?

Создание общедоступной ссылки…

Показать все

запись создана так Add-DnsServerQueryResolutionPolicy -Name "BlockANY" -Action IGNORE -QType "EQ,ANY" Count Type Domain TopClients ----- ---- ------ ---------- 362 ALL nexiuslearning.com 177.75.231.22, 212.52.165.53 320 TXT paloaltonetworks.com 40.132.59.35 250 ALL ujbuda.hu 201.149.124.53, 212.52.165.53 240 ALL alfa.hu 177.75.229.47, 94.199.49.123, 212.52.165.53 224 ALL stricted.net 177.75.233.44, 141.95.68.167, 177.75.233.83 209 ALL lklyrics.com 177.75.236.244, 216.239.38.110 208 ALL icomtel.ru 177.75.234.18, 91.217.20.20, 87.255.238.225 181 TXT presidio.com 74.114.129.11, 192.26.92.30, 206.128.133.10 178 ALL hi.is 177.75.226.23, 130.208.165.54, 130.208.143.33 172 ALL blendbunnycosmetics.com 177.75.239.213, 216.239.38.110 169 ALL lantaservice.com 89.208.212.47, 87.249.6.50, 177.75.229.10 162 ALL allpowerlifting.com 177.75.227.76, 216.239.38.107, 177.75.239.30 157 ALL klamas.ru 81.30.182.251, 89.189.149.150, 177.75.225.236 157 ALL kplaceshop.com 177.75.229.143, 216.239.38.106, 201.149.126.18 157 ALL homewizard.com 177.75.235.113, 216.239.38.106, 201.149.124.14 155 ALL rtsoft.com 177.75.231.114, 216.239.38.110, 177.75.231.248 155 ALL meowcafeshop.com 177.75.233.202, 216.239.38.110, 201.149.125.135 152 ALL chal.net 177.75.231.127, 216.239.38.110 152 ALL packetalk.net 177.75.227.167, 177.75.227.126 151 ALL orangebag.nl 177.75.228.183, 216.239.38.107, 201.149.126.7

Результаты вашего скрипта — это

классический пример DNS-амплификации (усиления атаки).

Ваш сервер используют как «прокси» для атаки на другие домены (например, ujbuda.hu, paloaltonetworks.com). Злоумышленники шлют вам короткие запросы, а ваш сервер вынужден искать тяжелые ответы и отправлять их «жертвам».

Что мы видим в вашем топе:

Тип ALL (ANY): Составляет 90% подозрительного трафика. Ваша команда Add-DnsServerQueryResolutionPolicy -Name "BlockANY" -Action IGNORE -QType "EQ,ANY" уже должна была начать их отсекать.
Тип TXT: Запросы к paloaltonetworks.com и presidio.com — это тоже попытка вытянуть максимально большой объем данных (SPF/TXT записи этих компаний очень объемные).
География: IP из Бразилии (177.75.x.x), Венгрии (212.52.x.x) и Мексики (201.149.x.x) явно не являются вашими клиентами.

Почему в логе всё еще много ALL?

Если вы только что ввели команду блокировки, старые запросы всё еще висят в кэше или логе. Однако, есть важный момент:

Действие IGNORE в политике заставляет сервер молчать в ответ на запрос. В логе DNS_DEBUG.log вы всё равно будете видеть входящий пакет (UDP Rcv), но вы не должны больше видеть исходящий пакет (UDP Snd) для этих запросов.

Как усилить защиту без вреда для почты?

Так как ваш сервер «публичный для всех», его будут продолжать использовать. Чтобы защититься от атак через TXT (которые нельзя заблокировать полностью из-за почты), лучше всего ограничить рекурсию только для ваших IP.

Самый безопасный план действий сейчас:

Проверьте, ушли ли исходящие пакеты:
Запустите скрипт из предыдущего сообщения, но измените в нем фильтр с UDP Rcv на UDP Snd. Если в списке Snd (отправка) всё еще много ответов типа ALL, значит, политика не применилась.
Включите RRL (Response Rate Limiting):
Это «умный» ограничитель. Он позволит вашим почтовым записям (SPF/DKIM) быть доступными, но если кто-то начнет запрашивать их слишком часто (как сейчас в логе), сервер начнет их игнорировать.
powershell
Set-DnsServerResponseRateLimiting -Enforce $True -ResponsesPerSecond 5 -ErrorsPerSecond 5
Используйте код с осторожностью.
Скопировано в буфер обмена
Уточните: должен ли ваш сервер вообще отвечать кому-то, кроме ваших сотрудников/офиса?
Если нет, то лучшим решением будет создание «белого списка» подсетей, как мы обсуждали ранее.

Хотите модифицировать скрипт, чтобы сравнить сколько пришло (Rcv) и сколько реально ушло (Snd) ответов? Это покажет эффективность вашей новой политики BlockANY.

Создание общедоступной ссылки…

Показать все

сервер должен отвечать всем

Раз сервер должен оставаться публичным (

Open Resolver), ваша стратегия защиты должна быть максимально аккуратной: нужно отсекать вредоносный трафик, не ломая легитимные запросы.

По вашему дампу видно, что атака идет по двум фронтам: ALL (ANY) и TXT. Поскольку вы уже создали политику BlockANY, ваш сервер перестал отвечать на эти запросы (они есть в Rcv, но их не должно быть в Snd).

Что делать с TXT (paloaltonetworks.com и др.)?

Блокировать TXT нельзя (сломается почта), но можно применить умное ограничение скорости (RRL). Это идеальное решение для публичного сервера: он будет отвечать на редкие запросы SPF/DKIM, но начнет игнорировать тех, кто шлет их сотнями (как в вашем логе).

1. Включите RRL (обязательно для публичного сервера):
Эта команда ограничит количество ответов одному и тому же клиенту до 5 в секунду.

powershell

Set-DnsServerResponseRateLimiting -Enforce $True -ResponsesPerSecond 5 -ErrorsPerSecond 5

Используйте код с осторожностью.

2. Проверьте эффективность блокировки ANY:
Давайте убедимся, что политика BlockANY реально работает и сервер перестал отправлять ответы. Запустите этот скрипт — он сравнит входящие и исходящие пакеты:

powershell

$logPath = "C:\DNS_DEBUG.log"
$data = Get-Content $logPath -ErrorAction SilentlyContinue | Where-Object { $_ -match "UDP (Rcv|Snd)" } | ForEach-Object {
    if ($_ -match "UDP (Rcv|Snd)\s+(?:\d{1,3}(?:\.\d{1,3}){3}).*\]\s+([A-Z*]+)\s+\((?:\d+)\)(.*)\(0\)") {
        [PSCustomObject]@{
            Direction = $Matches[1]
            Type      = $Matches[2]
            Domain    = [regex]::Replace($Matches[3], "\(\d+\)", ".")
        }
    }
}

$data | Group-Object Type, Domain, Direction | Select-Object Count, @{N='Type';E={$_.Values[0]}}, @{N='Domain';E={$_.Values[1]}}, @{N='Dir';E={$_.Values[2]}} | 
Sort-Object Domain, Type | Format-Table -AutoSize

Используйте код с осторожностью.

Как читать результат:

Если для домена (например, nexiuslearning.com) есть строка Rcv (300 штук), но нет строки Snd (или там всего 1-2 штуки) — политика BlockANY работает идеально.
Если в колонке Snd (отправка) для типа ALL всё еще большие числа — значит, политика по какой-то причине не активна.

3. Мониторинг "тяжелых" запросов:
Если вы видите, что запросы TXT к чужим доменам (paloaltonetworks.com) продолжают забивать канал, вы можете создать временную политику блокировки именно для этих доменов, не трогая свой:

powershell

# Блокировка запросов К КОНКРЕТНОМУ чужому домену, который используют для атаки
Add-DnsServerQueryResolutionPolicy -Name "BlockAttackDomain" -Action IGNORE -FQDN "EQ,*.paloaltonetworks.com"

Используйте код с осторожностью.

Хотите посмотреть статистику именно по исходящему трафику (Snd), чтобы понять, на что ваш сервер тратит ресурсы прямо сейчас?

Создание общедоступной ссылки…

Показать все

02.04.2026 2:07:33 4BD0 PACKET 000001BAE1E78180 UDP Rcv 177.75.234.159 b5d1 Q [0001 D NOERROR] ALL (16)csiriitrprograms(2)in(0) UDP question info at 000001BAE1E78180 Socket = 1000 Remote addr 177.75.234.159, port 27156 Time Query=1605584, Queued=0, Expire=0 Buf length = 0x0fa0 (4000) Msg length = 0x0030 (48) Message: XID 0xb5d1 Flags 0x0100 QR 0 (QUESTION) OPCODE 0 (QUERY) AA 0 TC 0 RD 1 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 0 NSCOUNT 0 ARCOUNT 1 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name = (16)csiriitrprograms(2)in(0) QTYPE ALL (255) QCLASS 1 ANSWER SECTION: empty AUTHORITY SECTION: empty ADDITIONAL SECTION: Offset = 0x0025, RR count = 0 Name = (0) 02.04.2026 2:07:33 4BD0 PACKET 000001BADF5CC9E0 UDP Rcv 177.75.239.54 708e Q [0001 D NOERROR] ALL (5)lkdsb(3)net(0) UDP question info at 000001BADF5CC9E0 Socket = 1000 Remote addr 177.75.239.54, port 11843 Time Query=1605584, Queued=0, Expire=0 Buf length = 0x0fa0 (4000) Msg length = 0x0026 (38) Message: XID 0x708e Flags 0x0100 QR 0 (QUESTION) OPCODE 0 (QUERY) AA 0 TC 0 RD 1 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 0 NSCOUNT 0 ARCOUNT 1 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name = (5)lkdsb(3)net(0) QTYPE ALL (255) QCLASS 1 ANSWER SECTION: empty AUTHORITY SECTION: empty ADDITIONAL SECTION: Offset = 0x001b, RR count = 0 Name = (0) 02.04.2026 2:07:33 4BD0 PACKET 000001BAE330A4A0 UDP Rcv 177.75.238.231 546d Q [0001 D NOERROR] ALL (13)nal-vonminden(3)com(0) UDP question info at 000001BAE330A4A0 Socket = 1000 Remote addr 177.75.238.231, port 5101 Time Query=1605584, Queued=0, Expire=0 Buf length = 0x0fa0 (4000) Msg length = 0x002e (46) Message: XID 0x546d Flags 0x0100 QR 0 (QUESTION) OPCODE 0 (QUERY) AA 0 TC 0 RD 1 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 0 NSCOUNT 0 ARCOUNT 1 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name = (13)nal-vonminden(3)com(0) QTYPE ALL (255) QCLASS 1 ANSWER SECTION: empty AUTHORITY SECTION: empty ADDITIONAL SECTION: Offset = 0x0023, RR count = 0 Name = (0) 02.04.2026 2:07:33 4BD0 PACKET 000001BAF61771B0 UDP Rcv 177.75.235.18 5480 Q [0001 D NOERROR] ALL (3)k33(3)com(0) UDP question info at 000001BAF61771B0 Socket = 1000 Remote addr 177.75.235.18, port 16557 Time Query=1605584, Queued=0, Expire=0 Buf length = 0x0fa0 (4000) Msg length = 0x0024 (36) Message: XID 0x5480 Flags 0x0100 QR 0 (QUESTION) OPCODE 0 (QUERY) AA 0 TC 0 RD 1 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 0 NSCOUNT 0 ARCOUNT 1 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name = (3)k33(3)com(0) QTYPE ALL (255) QCLASS 1 ANSWER SECTION: empty AUTHORITY SECTION: empty ADDITIONAL SECTION: Offset = 0x0019, RR count = 0 Name = (0) 02.04.2026 2:07:33 4BD0 PACKET 000001BAD6BC04B0 UDP Rcv 177.75.232.41 82f1 Q [0001 D NOERROR] ALL (8)kyoto-tc(2)jp(0) UDP question info at 000001BAD6BC04B0 Socket = 1000 Remote addr 177.75.232.41, port 34793 Time Query=1605584, Queued=0, Expire=0 Buf length = 0x0fa0 (4000) Msg length = 0x0028 (40) Message: XID 0x82f1 Flags 0x0100 QR 0 (QUESTION) OPCODE 0 (QUERY) AA 0 TC 0 RD 1 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 0 NSCOUNT 0 ARCOUNT 1 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name = (8)kyoto-tc(2)jp(0) QTYPE ALL (255) QCLASS 1 ANSWER SECTION: empty AUTHORITY SECTION: empty ADDITIONAL SECTION: Offset = 0x001d, RR count = 0 Name = (0) 02.04.2026 2:07:33 4BD0 PACKET 000001BADAE80D80 UDP Rcv 177.75.224.156 0d9e Q [0001 D NOERROR] ALL (13)vanabbemuseum(2)nl(0) UDP question info at 000001BADAE80D80 Socket = 1000 Remote addr 177.75.224.156, port 49064 Time Query=1605584, Queued=0, Expire=0 Buf length = 0x0fa0 (4000) Msg length = 0x002d (45) Message: XID 0x0d9e Flags 0x0100 QR 0 (QUESTION) OPCODE 0 (QUERY) AA 0 TC 0 RD 1 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 0 NSCOUNT 0 ARCOUNT 1 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name = (13)vanabbemuseum(2)nl(0) QTYPE ALL (255) QCLASS 1 ANSWER SECTION: empty AUTHORITY SECTION: empty ADDITIONAL SECTION: Offset = 0x0022, RR count = 0 Name = (0) 02.04.2026 2:07:33 4BD0 PACKET 000001BAA1D83890 UDP Rcv 177.75.233.104 c738 Q [0001 D NOERROR] ALL (7)suffolk(3)com(0) UDP question info at 000001BAA1D83890 Socket = 1000 Remote addr 177.75.233.104, port 4114 Time Query=1605584, Queued=0, Expire=0 Buf length = 0x0fa0 (4000) Msg length = 0x0028 (40) Message: XID 0xc738 Flags 0x0100 QR 0 (QUESTION) OPCODE 0 (QUERY) AA 0 TC 0 RD 1 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 0 NSCOUNT 0 ARCOUNT 1 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name = (7)suffolk(3)com(0) QTYPE ALL (255) QCLASS 1 ANSWER SECTION: empty AUTHORITY SECTION: empty ADDITIONAL SECTION: Offset = 0x001d, RR count = 0 Name = (0) 02.04.2026 2:07:33 4BD0 PACKET 000001BAEB76D560 UDP Rcv 177.75.239.57 f7ea Q [0001 D NOERROR] ALL (3)bmw(2)de(0) UDP question info at 000001BAEB76D560 Socket = 1000 Remote addr 177.75.239.57, port 64158 Time Query=1605584, Queued=0, Expire=0 Buf length = 0x0fa0 (4000) Msg length = 0x0023 (35) Message: XID 0xf7ea Flags 0x0100 QR 0 (QUESTION) OPCODE 0 (QUERY) AA 0 TC 0 RD 1 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 0 NSCOUNT 0 ARCOUNT 1 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name = (3)bmw(2)de(0) QTYPE ALL (255) QCLASS 1 ANSWER SECTION: empty AUTHORITY SECTION: empty ADDITIONAL SECTION: Offset = 0x0018, RR count = 0 Name = (0) 02.04.2026 2:07:33 4BD0 PACKET 000001BAF8B904A0 UDP Rcv 177.75.226.51 dc7b Q [0001 D NOERROR] ALL (5)upela(3)com(0) UDP question info at 000001BAF8B904A0 Socket = 1000 Remote addr 177.75.226.51, port 23521 Time Query=1605584, Queued=0, Expire=0 Buf length = 0x0fa0 (4000) Msg length = 0x0026 (38) Message: XID 0xdc7b Flags 0x0100 QR 0 (QUESTION) OPCODE 0 (QUERY) AA 0 TC 0 RD 1 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 0 NSCOUNT 0 ARCOUNT 1 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name = (5)upela(3)com(0) QTYPE ALL (255) QCLASS 1 ANSWER SECTION: empty AUTHORITY SECTION: empty ADDITI

Этот дамп подтверждает, что ваш сервер находится под интенсивным обстрелом

DNS Amplification запросами.

Все записи в логе — это входящие пакеты (UDP Rcv) типа ALL (ANY) от подсетей Бразилии (177.75.x.x). Злоумышленники запрашивают через вас данные крупных доменов (bmw.de, suffolk.com, vanabbemuseum.nl), надеясь, что ваш сервер отправит огромный ответ на подделанный IP-адрес жертвы.

Почему это происходит?

Поскольку ваш сервер публичный, боты нашли его и добавили в список активных «усилителей». Тот факт, что за одну секунду (02:07:33) пришло 9 разных запросов только в этом фрагменте, говорит о том, что реальный поток составляет сотни запросов в секунду.

Работает ли ваша блокировка?

В дампе видны только входящие пакеты (UDP Rcv).

Если в логе отсутствуют соответствующие им пакеты UDP Snd (отправка) для этих же доменов, значит, ваша политика BlockANY с действием IGNORE успешно работает — сервер «молчит» и не участвует в атаке.
Однако сам факт обработки этих пакетов всё равно нагружает сетевой стек и процессор.

Что делать дальше?

Проверьте загрузку CPU и канала:
Если из-за обилия UDP Rcv сервер начинает тормозить, блокировка на уровне DNS-приложения может быть недостаточной. В этом случае стоит перенести блокировку на уровень Firewall (брандмауэра).
Блокировка на уровне IP (Firewall):
Поскольку почти все вредоносные запросы идут из диапазона 177.75.0.0/16, вы можете временно заблокировать этот диапазон на вход в брандмауэре Windows:
powershell
New-NetFirewallRule -DisplayName "Block Brazil DNS Attack" -Direction Inbound -Action Block -RemoteAddress 177.75.0.0/16 -Protocol UDP -LocalPort 53
Используйте код с осторожностью.
Скопировано в буфер обмена
Обязательно включите RRL (если еще не сделали):
Это защитит вас от атак через тип TXT, который вы не блокировали:
powershell
Set-DnsServerResponseRateLimiting -Enforce $True -ResponsesPerSecond 5 -ErrorsPerSecond 5
Используйте код с осторожностью.
Скопировано в буфер обмена

Вы заметили снижение нагрузки на процессор после того, как добавили правило BlockANY?

Создание общедоступной ссылки…

Показать все

Count Type Domain TopClients ----- ---- ------ ---------- 90 TXT paloaltonetworks.com 40.132.59.35 42 TXT gm.com 177.75.226.165, 177.75.229.205, 201.149.126.221 42 ALL humany.net 201.149.125.75, 177.75.231.111, 177.75.229.249 41 ALL optable.co 201.149.127.188, 177.75.232.129, 201.149.126.225 41 ALL hinge.co 177.75.229.187, 177.75.231.231, 177.75.226.242 41 ALL consuwijzer.nl 177.75.228.53, 177.75.233.47, 201.149.126.144 39 TXT cigna.com 170.48.24.5, 177.75.235.154, 170.48.11.4 38 TXT turing.com 177.75.224.46, 177.75.229.231, 177.75.237.7 38 ALL prohound.io 177.75.238.154, 177.75.233.176, 177.75.237.138 37 ALL tcnb.com 66.198.240.17 37 ALL gemeenteberkelland.nl 177.75.235.21, 177.75.236.228, 201.149.124.154 36 ALL renault.fr 201.149.124.214, 177.75.233.145, 177.75.225.48 36 ALL kacific.com 177.75.238.246, 201.149.124.43, 177.75.234.67 36 ALL alliander.com 201.149.124.138, 177.75.224.151, 177.75.238.3 36 ALL museon-omniversum.nl 177.75.235.0, 177.75.225.168 35 ALL info-bras.net.br 177.75.224.48, 177.75.239.198, 177.75.226.253 34 ALL gorinvestment.com 201.149.127.94, 177.75.234.73, 177.75.225.13 34 TXT synthesia.io 177.75.227.140, 177.75.227.233, 177.75.231.80 34 TXT groupe-casino.fr 177.75.231.210, 201.149.124.144, 201.149.126.77 34 ALL verimatrix.com 177.75.235.128, 177.75.226.105, 177.75.239.94 РќР°Р¶РјРёС‚Рµ Enter РґР»СЏ РІС‹С…РѕРґР°:

Судя по свежему дампу, атака продолжается, но теперь в топе активно мелькают запросы типа

TXT (paloaltonetworks.com, gm.com, cigna.com). Это логично: так как вы заблокировали ANY, боты переключились на другой «тяжелый» тип записей, чтобы всё равно использовать ваш сервер для усиления.

Что мы видим сейчас:

Эффективность BlockANY: Если эти цифры (например, 42 для humany.net) относятся к UDP Rcv (входящим), то это просто «шум» от ботов, которые еще не поняли, что вы их игнорируете.
Атака через TXT: Запросы к paloaltonetworks.com и cigna.com опасны тем, что их ответы могут весить несколько килобайт. 90 запросов за короткий промежуток времени — это попытка забить ваш исходящий канал.

Ваши дальнейшие действия:

Поскольку сервер должен отвечать всем, мы не можем заблокировать TXT полностью. Нужно использовать Response Rate Limiting (RRL). Это заставит сервер отвечать на 1-2 запроса от этих IP, а остальные отбрасывать.

Выполните эту команду (если еще не сделали):

powershell

Set-DnsServerResponseRateLimiting -Enforce $True -ResponsesPerSecond 5 -ErrorsPerSecond 5

Используйте код с осторожностью.

Если нагрузка всё еще высокая, можно точечно «придушить» атаку на конкретные домены (не блокируя ваш):
Если вы не имеете отношения к Palo Alto или GM, можно временно запретить вашему серверу разрешать их имена для внешних клиентов:

powershell

Add-DnsServerQueryResolutionPolicy -Name "BlockAttackTXT" -Action IGNORE -FQDN "EQ,*.paloaltonetworks.com,*.cigna.com,*.turing.com"

Используйте код с осторожностью.

Это правило просто заставит ваш сервер игнорировать запросы к этим конкретным именам.

Проверьте сейчас: есть ли в вашем логе строки UDP Snd для этих доменов? Если есть только Rcv, значит, ваша текущая политика уже справляется с частью нагрузки.

Хотите модифицировать скрипт, чтобы он считал только исходящие (Snd) ответы, чтобы увидеть реальную паразитную нагрузку на канал?

Создание общедоступной ссылки…

Показать все

PS C:\Users\deadbeat\Desktop> Get-DnsServerResponseRateLimiting ResponsesPerSec : 5 ErrorsPerSec : 5 WindowInSec : 5 IPv4PrefixLength : 24 IPv6PrefixLength : 56 LeakRate : 3 TruncateRate : 2 MaximumResponsesPerWindow : 1024 Mode : Disable

Судя по выводу команды, ваш защитный механизм

RRL настроен, но ВЫКЛЮЧЕН (Mode : Disable). Это значит, что сервер видит лимиты (5 ответов в секунду), но не применяет их, продолжая отвечать на каждый вредоносный запрос TXT.

1. Включите защиту прямо сейчас

Чтобы сервер начал отсекать лишние запросы (те самые 90 штук к paloaltonetworks.com), переведите его в режим принудительного исполнения (Enforce):

powershell

Set-DnsServerResponseRateLimiting -Enforce $True

Используйте код с осторожностью.

После этого Mode должен измениться на Enforce.

2. Почему это важно?

В вашем логе видно, что боты переключились на TXT-запросы. Политика BlockANY их не трогает, а RRL как раз создан для таких случаев:

Если один IP (например, 40.132.59.35) пришлет 90 запросов за секунду, сервер ответит только на первые 5, а остальные проигнорирует.
Ваша почта (SPF/DKIM) при этом не пострадает, так как обычные почтовые сервера присылают запросы редко (раз в несколько минут).

3. Как проверить результат?

После включения подождите 2-3 минуты и снова запустите скрипт анализа.

Входящие запросы (UDP Rcv) в логе всё равно будут видны (боты продолжают стучать).
А вот количество исходящих ответов (UDP Snd) для этих доменов должно резко упасть.

4. Дополнительный штрих (по желанию)

Если вы хотите, чтобы сервер даже не пытался резолвить домены, которые явно используются для атаки на вас, добавьте их в "черный список" (это сэкономит ресурсы CPU):

powershell

Add-DnsServerQueryResolutionPolicy -Name "DropAttackDomains" -Action IGNORE -FQDN "EQ,*.paloaltonetworks.com,*.gm.com,*.cigna.com,*.turing.com"

Используйте код с осторожностью.

Проверьте сейчас статус через Get-DnsServerResponseRateLimiting — изменился ли Mode на Enforce?

Создание общедоступной ссылки…

Показать все

PS C:\Users\deadbeat\Desktop> Set-DnsServerResponseRateLimiting -Mode Enable -ResponsesPerSec 5 -ErrorsPerSec 5 -LeakRate 3 -Force ПРЕДУПРЕЖДЕНИЕ: Ограничение скорости ответа может привести к отказу службы для клиентов, если будет выяснено, что поток похожих запросов происходит от общего источника. PS C:\Users\deadbeat\Desktop> Get-DnsServerResponseRateLimiting ResponsesPerSec : 5 ErrorsPerSec : 5 WindowInSec : 5 IPv4PrefixLength : 24 IPv6PrefixLength : 56 LeakRate : 3 TruncateRate : 2 MaximumResponsesPerWindow : 1024 Mode : Enable

Отлично! Теперь

RRL (Response Rate Limiting) официально в режиме Enable.

Что это дало прямо сейчас:

Защита от TXT-атак: Если IP 40.132.59.35 (из вашего топа) пришлет 90 запросов за секунду к paloaltonetworks.com, ваш сервер ответит только на первые 5 (параметр ResponsesPerSec), а остальные проигнорирует.
Экономия канала: Исходящий трафик (самое дорогое в таких атаках) резко упадет.
Безопасность для почты: Реальные почтовые серверы запрашивают SPF/DKIM один раз при доставке письма, поэтому лимит в 5 запросов в секунду их никак не затронет.

Что означают остальные параметры:

LeakRate (3): Каждые 3 пропущенных (заблокированных) запроса сервер будет «пропускать» один ответ. Это нужно для легитимных клиентов, которые случайно попали под лимит.
IPv4PrefixLength (24): Лимиты применяются не к конкретному IP, а к подсети /24 (например, ко всем адресам 177.75.234.x). Это очень эффективно против ботнетов, которые меняют последние цифры IP.

Как проверить результат в логах?

Поскольку ваш сервер все еще «открытый», входящие запросы (UDP Rcv) в логах никуда не денутся — боты будут продолжать стучать.

Чтобы увидеть, что защита работает, используйте этот короткий скрипт (он покажет только отправленные ответы):

powershell

$logPath = "C:\DNS_DEBUG.log"
Get-Content $logPath -Tail 2000 | Where-Object { $_ -match "UDP Snd" } | ForEach-Object {
    if ($_ -match "UDP Snd\s+(\d{1,3}(?:\.\d{1,3}){3}).*\]\s+([A-Z*]+)\s+\((?:\d+)\)(.*)\(0\)") {
        [PSCustomObject]@{
            IP     = $Matches[1]
            Type   = $Matches[2]
            Domain = [regex]::Replace($Matches[3], "\(\d+\)", ".")
        }
    }
} | Group-Object Type, Domain | Sort-Object Count -Descending | Select-Object -First 10

Используйте код с осторожностью.

Если в этом топе цифры Count стали маленькими (в пределах 5-15), значит, RRL успешно "душит" атаку.

Вы планируете оставить сервер полностью открытым на постоянной основе или хотите позже настроить доступ только для определенных стран?**

Создание общедоступной ссылки…

Показать все

Count Name Group ----- ---- ----- 4 TXT, paloaltonetworks.com {@{IP=40.132.59.35; Type=TXT; Domain=paloaltonetworks.com}, @{IP=40.132.59.35; Type=... 3 TXT, sumo-digital.com {@{IP=177.75.228.12; Type=TXT; Domain=sumo-digital.com}, @{IP=201.149.127.29; Type=T... 3 TXT, ubs.com {@{IP=192.55.83.30; Type=TXT; Domain=ubs.com}, @{IP=155.145.206.75; Type=TXT; Domain... 3 TXT, solera.com {@{IP=192.43.172.30; Type=TXT; Domain=solera.com}, @{IP=170.76.172.130; Type=TXT; Do... 2 TXT, davivienda.com {@{IP=177.75.233.248; Type=TXT; Domain=davivienda.com}, @{IP=177.75.237.213; Type=TX... 2 TXT, pcaskin.com {@{IP=204.74.67.3; Type=TXT; Domain=pcaskin.com}, @{IP=177.75.226.23; Type=TXT; Doma... 2 TXT, clickfunnels.com {@{IP=173.245.59.125; Type=TXT; Domain=clickfunnels.com}, @{IP=177.75.239.13; Type=T... 2 TXT, g2.com {@{IP=172.64.32.185; Type=TXT; Domain=g2.com}, @{IP=177.75.226.150; Type=TXT; Domain... 2 TXT, ccc.eu {@{IP=177.75.233.213; Type=TXT; Domain=ccc.eu}, @{IP=177.75.238.135; Type=TXT; Domai... 2 TXT, uipath.com {@{IP=177.75.228.60; Type=TXT; Domain=uipath.com}, @{IP=177.75.225.201; Type=TXT; Do... РќР°Р¶РјРёС‚Рµ Enter РґР»СЏ РІС‹С…РѕРґР°:

Результат отличный! Сравните сами: до включения RRL у вас было

90 запросов к paloaltonetworks.com в одном фрагменте лога, а теперь в исходящих (UDP Snd) их всего 4.

Что это значит:

RRL работает: Боты по-прежнему присылают сотни запросов (входящий трафик), но ваш сервер теперь игнорирует 95% из них, отвечая лишь единицам.
Атака подавлена: Вы больше не являетесь эффективным «усилителем» для DDoS-атак. Ваш исходящий канал освободился, а репутация сервера улучшилась.
ANY заблокирован: В этом топе вообще нет типа ALL. Значит, политика BlockANY полностью отсекает эти запросы «на корню».

Что делать дальше:

На текущий момент ваш сервер защищен настолько, насколько это возможно для публичного DNS-резолвера.

Мониторинг: Рекомендую раз в пару дней запускать скрипт для проверки UDP Snd. Если цифры в колонке Count снова полезут вверх (например, станут > 20-30), можно будет уменьшить лимит ResponsesPerSec с 5 до 3.
Логи: Не забудьте потом выключить DNS Debug Logging, если он вам больше не нужен для тестов. Эти логи очень быстро растут и могут забить место на диске C:\.

Хотите оставить настройки как есть или вам нужно помочь составить команду для очистки (удаления) файла лога, чтобы он не занимал лишнее место?

Создание общедоступной ссылки…

Показать все

Count Type Domain TopClients ----- ---- ------ ---------- 205 TXT paloaltonetworks.com 40.132.59.35 108 TXT hamburg.de 147.78.89.220, 194.13.83.222 93 TXT presidio.com 177.75.237.237, 192.41.162.30, 74.114.128.11 67 TXT arvika.se 193.33.247.15, 193.33.246.2, 193.235.152.99 64 TXT xn--h1akdx.xn--80aswg 194.58.117.11, 176.99.13.16, 194.58.117.12 53 TXT renaissance.com 54.174.19.114, 54.242.67.51, 54.202.120.187 53 ALL cativa.net 177.75.236.233, 201.149.124.169, 177.75.229.143 49 ALL pchulp.com 177.75.237.95, 177.75.237.174 48 TXT dg-i.net 201.149.124.180, 201.149.126.203 47 ALL stockholmvattenochavfall.se 177.75.237.91, 177.75.239.110, 177.75.232.130 46 TXT ge.com 201.149.125.141, 192.131.182.241, 177.75.238.20 46 ALL hostedxl.nl 177.75.230.67, 177.75.225.241, 177.75.228.98 46 ALL sageteam.eu 177.75.238.170, 177.75.227.16, 177.75.239.90 44 ALL futobolt.hu 177.75.230.146, 177.75.237.0, 177.75.231.162 44 ALL smbc-cm.com 177.75.235.121, 201.149.127.30, 177.75.227.136 43 ALL wpsyd.com 177.75.227.91, 177.75.234.152, 201.149.127.66 43 TXT pearson.com 201.149.127.186, 192.54.112.30, 201.149.127.108 43 ALL yourcoffeebreak.co.uk 177.75.239.208, 177.75.234.183 43 TXT tcw.com 177.75.236.194, 177.75.239.67, 192.55.83.30 43 ALL irysius.fr 201.149.125.114, 177.75.233.128 02.04.2026 2:31:44 4D24 PACKET 0000023FD183AC80 UDP Rcv 177.75.233.74 fc67 Q [0001 D NOERROR] ALL (10)fotbutiken(2)se(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCAEE71B0 UDP Rcv 177.75.228.221 15bc Q [0001 D NOERROR] ALL (8)randstad(2)nl(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB5DBA070 UDP Rcv 177.75.236.113 09f7 Q [0001 D NOERROR] ALL (7)distill(3)pub(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FBD6964B0 UDP Rcv 177.75.229.212 9355 Q [0001 D NOERROR] ALL (8)uniguide(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB14B6530 UDP Rcv 201.149.127.39 55ab Q [0001 D NOERROR] ALL (8)lunchbox(2)io(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FBC8FF9A0 UDP Rcv 177.75.229.162 32a4 Q [0001 D NOERROR] TXT (11)astrazeneca(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FBC8FF9A0 UDP Snd 177.75.229.162 32a4 R Q [8081 DR NOERROR] TXT (11)astrazeneca(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB0D4CD80 UDP Rcv 177.75.235.100 216e Q [0001 D NOERROR] ALL (13)bonheurcourse(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCDB76180 UDP Rcv 177.75.227.158 a340 Q [0001 D NOERROR] ALL (19)farghandlare-motala(2)se(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCB7D70B0 UDP Rcv 177.75.227.33 dc3f Q [0001 D NOERROR] ALL (5)hibob(2)io(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FC0FA3920 UDP Rcv 177.75.224.163 0316 Q [0001 D NOERROR] ALL (18)bf-easy-webhosting(2)de(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB89A14F0 UDP Rcv 177.75.235.0 fc1e Q [0001 D NOERROR] ALL (7)webador(2)fr(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FD184E0F0 UDP Rcv 177.75.234.157 7561 Q [0001 D NOERROR] ALL (6)dryfta(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FC7DBC4A0 UDP Rcv 201.149.126.56 d70e Q [0001 D NOERROR] ALL (9)serializd(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FD1838070 UDP Rcv 201.149.124.143 e9e2 Q [0001 D NOERROR] ALL (13)metaregistrar(2)nl(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FC33BE590 UDP Rcv 177.75.225.210 743e Q [0001 D NOERROR] TXT (3)fpl(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FC33BE590 UDP Snd 177.75.225.210 743e R Q [8081 DR NOERROR] TXT (3)fpl(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FD02BC070 UDP Rcv 177.75.239.60 f1dd Q [0001 D NOERROR] ALL (15)underbaraclaras(2)se(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FC7DB6C80 UDP Rcv 201.149.124.151 9279 Q [0001 D NOERROR] TXT (9)whirlpool(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FC7DB6C80 UDP Snd 201.149.124.151 9279 R Q [8083 TDR NOERROR] TXT (9)whirlpool(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCB8B8960 UDP Rcv 177.75.228.87 a985 Q [0001 D NOERROR] ALL (3)uva(2)nl(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCB7DF4E0 UDP Rcv 177.75.234.177 179f Q [0001 D NOERROR] TXT (9)microsoft(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCB7DF4E0 UDP Snd 177.75.234.177 179f R Q [8083 TDR NOERROR] TXT (9)microsoft(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCB34BD40 UDP Rcv 177.75.238.206 06f5 Q [0001 D NOERROR] ALL (8)rcontrol(3)com(2)mx(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB4672CF0 UDP Rcv 177.75.237.47 37ef Q [0001 D NOERROR] ALL (7)harness(2)io(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FD183AC80 UDP Rcv 177.75.224.213 54c7 Q [0001 D NOERROR] ALL (9)telebroad(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCAEE71B0 UDP Rcv 201.149.127.210 b5f6 Q [0001 D NOERROR] ALL (3)avr(2)nl(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB5DBA070 UDP Rcv 177.75.225.134 b68f Q [0001 D NOERROR] TXT (12)focuspredict(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB5DBA070 UDP Snd 177.75.225.134 b68f R Q [8081 DR NOERROR] TXT (12)focuspredict(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FBD6964B0 UDP Rcv 177.75.226.225 5591 Q [0001 D NOERROR] ALL (6)mywage(2)de(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB14B6530 UDP Rcv 177.75.233.114 279f Q [0001 D NOERROR] ALL (14)vinci-energies(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FBC8FF9A0 UDP Rcv 177.75.225.183 5392 Q [0001 D NOERROR] TXT (5)focal(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FBC8FF9A0 UDP Snd 177.75.225.183 5392 R Q [8081 DR NOERROR] TXT (5)focal(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB0D4CD80 UDP Rcv 177.75.235.90 ff91 Q [0001 D NOERROR] ALL (3)ngi(2)be(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCDB76180 UDP Rcv 177.75.230.146 bf14 Q [0001 D NOERROR] TXT (11)crowdstrike(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCDB76180 UDP Snd 177.75.230.146 bf14 R Q [8083 TDR NOERROR] TXT (11)crowdstrike(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCB7D70B0 UDP Rcv 201.149.127.69 7b24 Q [0001 D NOERROR] ALL (6)banken(2)nl(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FC0FA3920 UDP Rcv 201.149.124.72 46ee Q [0001 D NOERROR] ALL (15)latinoamerica21(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB89A14F0 UDP Rcv 177.75.233.100 e53f Q [0001 D NOERROR] TXT (6)vonage(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FB89A14F0 UDP Snd 177.75.233.100 e53f R Q [8083 TDR NOERROR] TXT (6)vonage(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FD184E0F0 UDP Rcv 177.75.239.119 e44c Q [0001 D NOERROR] ALL (10)fintecture(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FC7DBC4A0 UDP Rcv 201.149.125.171 b997 Q [0001 D NOERROR] ALL (8)jetstyle(2)in(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FD1838070 UDP Rcv 177.75.224.7 eb7f Q [0001 D NOERROR] ALL (15)intactinsurance(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FC33BE590 UDP Rcv 201.149.126.39 0276 Q [0001 D NOERROR] ALL (5)issuu(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FD02BC070 UDP Rcv 177.75.227.169 5e3a Q [0001 D NOERROR] ALL (7)netjets(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FC7DB6C80 UDP Rcv 201.149.127.241 110b Q [0001 D NOERROR] ALL (9)littlepay(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCB8B8960 UDP Rcv 177.75.234.150 3cb3 Q [0001 D NOERROR] ALL (18)shoppingnovaiguacu(3)com(2)br(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCB7DF4E0 UDP Rcv 177.75.224.144 561f Q [0001 D NOERROR] ALL (7)anunzia(3)com(0) 02.04.2026 2:31:44 4D24 PACKET 0000023FCB34BD40 UDP Rcv 177.75.224.205 e478 Q [0001 D NOERROR] ALL

Судя по новым данным, ситуация изменилась: боты адаптировались к вашим лимитам. Теперь они не «долбят» один домен (Palo Alto), а распределяют нагрузку по

сотням разных доменов (microsoft.com, astrazeneca.com, crowdstrike.com).

Это называется "Random Subdomain" или "Distributed DNS Attack". Поскольку домены разные, стандартный RRL по умолчанию может пропускать больше трафика, чем хотелось бы.

Анализ текущего лога:

UDP Snd всё еще есть: В логе видны пары UDP Rcv -> UDP Snd для типа TXT. Это значит, что сервер всё еще отвечает на многие запросы.
Тип ALL (ANY): В текстовом дампе (внизу) много Rcv для типа ALL, но для них нет соответствующих Snd. Это отлично — ваша политика BlockANY работает и отсекает их полностью.
Тип TXT: Сейчас это основная проблема. Боты запрашивают TXT записи известных компаний, которые весят очень много.

Что нужно сделать для усиления защиты:

Поскольку сервер публичный, нам нужно заставить RRL работать жестче.

1. Уменьшите лимит ответов (RRL)
Лимит 5 запросов в секунду для публичного сервера — это стандарт, но в условиях активной атаки его можно временно снизить до 2-3.

powershell

Set-DnsServerResponseRateLimiting -ResponsesPerSec 2 -ErrorsPerSec 2

Используйте код с осторожностью.

2. Включите обрезание ответов (TruncateRate)
Это заставит сервер отвечать на подозрительные запросы не полным списком данных, а коротким пакетом с флагом TC (Truncated). Легитимный клиент (браузер или почтовик) поймет это и переключится на TCP, а боты-усилители просто отвалятся, так как им нужны именно большие UDP ответы.

powershell

Set-DnsServerResponseRateLimiting -TruncateRate 1

Используйте код с осторожностью.

3. Проверьте политику BlockANY
Убедитесь, что она стоит на первом месте в списке и активна:

powershell

Get-DnsServerQueryResolutionPolicy | Select-Object Name, Action, Priority

Используйте код с осторожностью.

Рекомендация по логам:

Ваш лог забивается гигантским количеством записей UDP Rcv. Если вы уже поняли природу атаки, выключите Debug Log, иначе он создаст огромную нагрузку на диск (I/O) и может привести к зависанию службы DNS.

powershell

# Выключить детальное логирование (когда закончите анализ)
Set-DnsServerDiagnostics -EnableLogging $false

Используйте код с осторожностью.

Вопрос: Вы замечаете, что нагрузка на интернет-канал или процессор сейчас мешает работе ваших легитимных сервисов (сайтов, почты)?

Создание общедоступной ссылки…

Показать все

а если мой dns не используют но запросят записи any они получат их ? если еще заблокировать txt

Если на вашем сервере работает политика

BlockANY (с действием IGNORE), то ответ на вопрос: нет, они ничего не получат.

Вот как это работает технически для разных типов запросов:

1. Запросы типа ANY

Когда кто угодно (бот или легитимный пользователь) присылает запрос ANY на ваш сервер:

Сервер сверяет запрос с вашей политикой BlockANY.
Поскольку действие установлено в IGNORE, сервер просто выбрасывает пакет.
Запрашивающий не получит даже ошибки (вроде «Refused»), он получит тайм-аут (пустоту). Ваш сервер для него будет выглядеть как «черная дыра».

2. Если заблокировать еще и TXT

Если вы добавите TXT в список блокировки (например, Set-DnsServerQueryResolutionPolicy -Name "BlockANY" -QType "EQ,ANY,TXT"):

Снаружи: Никто не сможет узнать ваши SPF-записи и ключи DKIM.
Последствия для почты: Почтовые сервера (Gmail, Mail.ru и др.) при попытке отправить вам письмо не смогут проверить подлинность вашего домена. Ваша почта с огромной вероятностью начнет попадать в спам или вообще отклоняться другими серверами.
Рекомендация: TXT лучше не блокировать полностью, а ограничивать через RRL (что мы уже сделали командами выше). Это позволит реальным почтовикам получать одну запись раз в минуту, но не даст ботам качать их сотнями.

Как проверить самому (диагностика)

Вы можете проверить работу своих правил с любого другого компьютера (или через онлайн-сервисы проверки DNS):

Проверка ANY (должен быть тайм-аут):
bash
nslookup -type=any ваш_домен_или_IP
Используйте код с осторожностью.
Скопировано в буфер обмена
Результат должен быть: "Request timed out".
Проверка TXT (должен быть ответ):
bash
nslookup -type=txt ваш_домен_или_IP
Используйте код с осторожностью.
Скопировано в буфер обмена
Результат должен показать вашу SPF-запись.

Итог

Ваша текущая конфигурация (BlockANY + RRL) — это золотая середина. Вы:

Полностью отсекли самый опасный тип атак (ANY).
«Задушили» атаки через TXT, сохранив при этом работоспособность своей почты.

Хотите, я помогу составить команду, которая разрешит ANY только для вашего внутреннего IP, чтобы вы могли проводить диагностику, а все остальные получали блок?

Создание общедоступной ссылки…

Показать все

PS C:\Users\Free> nslookup -type=any 89.179.240.91 ╤хЁтхЁ: UnKnown Address: 192.168.0.1 ╚ь : 89-179-240-91.static.corbina.ru Address: 89.179.240.91 PS C:\Users\Free>

Этот результат

nslookup может сбить с толку, но на самом деле он подтверждает, что ваша блокировка работает.

Что произошло в вашем тесте:

Кто ответил? В строке Address: 192.168.0.1 видно, что запрос обработал ваш домашний роутер, а не ваш DNS-сервер напрямую.
Что он нашел? Поскольку вы ввели IP-адрес (89.179.240.91), nslookup автоматически выполнил обратный запрос (PTR-запись), чтобы узнать имя хоста.
Результат: Он нашел имя 89-179-240-91.static.corbina.ru. Эту информацию он взял из кэша или у провайдера (Corbina/Beeline), а не с вашего сервера.

Как проверить блокировку ПРАВИЛЬНО:

Чтобы проверить именно ваш сервер и вашу политику BlockANY, нужно явно указать nslookup обращаться к вашему IP:

powershell

# Замените 89.179.240.91 на ваш публичный IP, если он другой
nslookup -type=any google.com 89.179.240.91

Используйте код с осторожностью.

Что вы должны увидеть:

Если политика BlockANY активна (действие IGNORE): вы получите сообщение «DNS request timed out» (запрос истек по тайм-ауту). Это значит, сервер «промолчал», как мы и настраивали.
Если бы сервер ответил: вы бы увидели длинный список записей (A, MX, TXT и т.д.).

Почему это важно?

Злоумышленники (те самые из Бразилии в ваших логах) используют ваш сервер именно как рекурсор — они спрашивают у вас про google.com, microsoft.com и другие тяжелые домены. Ваша политика BlockANY теперь запрещает серверу отвечать на такие запросы всем «чужим» IP.

Попробуйте выполнить команду выше (указав свой IP в конце). Если получите тайм-аут — вы под защитой. Проверим?

Создание общедоступной ссылки…

Показать все

а кроме игноре какие режимы есть ?

В политиках разрешения имен DNS Windows Server (Query Resolution Policies) параметр

-Action может принимать три основных значения. Каждое из них по-разному влияет на то, что увидит атакующий и как нагрузится ваш сервер.

1. IGNORE (Игнорировать) — «Черная дыра»

Это то, что мы настроили вам сейчас.

Что происходит: Сервер получает пакет, понимает, что это запрещенный тип (например, ANY), и просто выбрасывает его в корзину, не отправляя ничего в ответ.
Результат для клиента: Тайм-аут (Request timed out).
Плюсы: Самый экономный режим для вашего канала. Вы не тратите ни одного байта на ответ взломщику.
Минусы: Клиент (или бот) может подумать, что пакет просто потерялся, и отправить его еще несколько раз.

2. DENY (Отказать) — «Явный запрет»

Что происходит: Сервер получает запрос и вежливо (но твердо) отправляет в ответ короткий пакет с кодом ошибки REFUSED.
Результат для клиента: Сообщение Query refused или Отказано в доступе.
Плюсы: Клиент сразу понимает, что обращаться сюда бесполезно, и может перестать слать повторные запросы.
Минусы: Вы всё равно тратите исходящий трафик на отправку ответа «Нет». В случае мощной DDoS-атаки это всё равно может забить ваш канал.

3. ALLOW (Разрешить) — «Стандартный режим»

Что происходит: Сервер обрабатывает запрос в обычном режиме и возвращает все найденные записи.
Результат для клиента: Получение данных.
Применение: Используется, когда вам нужно создать исключение. Например: «Блокировать ANY для всех (IGNORE), но для моего домашнего IP — ALLOW».

Какой режим выбрать вам?

Для публичного сервера, который находится под атакой (как ваш сейчас), IGNORE — это лучший выбор.

Почему не DENY?
При атаке типа "усиление" (Amplification) задача злоумышленника — заставить ваш сервер отправить любой ответ на адрес жертвы. Если вы поставите DENY, ваш сервер всё равно отправит пакет REFUSED жертве. Да, он будет маленьким, но при миллионах запросов это всё равно превращается в атаку.

Режим IGNORE полностью обрывает эту цепочку.

Как быстро сменить режим (если захотите):

Если вы решите, что хотите видеть «Отказано» вместо тайм-аута:

powershell

Set-DnsServerQueryResolutionPolicy -Name "BlockANY" -Action DENY

Используйте код с осторожностью.

Хотите добавить в политику исключение (ALLOW) для своего конкретного IP, чтобы вы могли проверять записи ANY, а боты — нет?

Создание общедоступной ссылки…

Показать все

Результаты поиска