[FUG-BR] flood dns parando servidor e consumindo link

[Enio Marconcini]

amigos boa tarde... tenho sofrido desde sábado um problema que só pode ser
alguma tentativa de ataque ou flood dns que ta pondo o processamento do
servidor na tampa, e o que é pior consumindo muito o link.

pra ter noção quando eu rodo um tcpdump pra capturar o fluxo na porta 53 as
linhas que aparece são tantas que no começo nem acreditei que se tratava
apenas de fluxo na porta 53, é muita coisa... e o que é pior é que os ips
origem são diversos, 81.84.52.187,  173.68.241.225,
 91.121.3.44, 46.163.67.40 etc etc são tantos que acaba por se confundir
com os verdadeiros.

Outra coisa notada é que, isso ocorre na placa externa. Olhei o fluxo na
nic interna e vi que não tinha nada de estranho (tipo um virus que imaginei
no começo).

Penso que dropar conexões não ajuda muito, uma vez que mesmo assim os
pacotes chegarão no servidor (para serem dropados) e quando isso ocorre o
link já foi consumido.
Outra coisa que notei de estranho é que o gráfico de consumo da nic externa
mostra um fluxo alto de saída desde último sábado.

Neste caso o que é a medida mais certa a ser tomada?

abraços

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
*
Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*

*"H**ave a trouble with windows: reboot!*
*Have a trouble with unix: be root!"*
*
*
*"Linux: para aqueles que odeiam o Windows."*
*"BSD: para aqueles que amam o Unix."*