[FUG-BR] flood dns parando servidor e consumindo link

[Renato Botelho]

2012/9/17 Enio Marconcini <eniorm at gmail.com>:
> amigos boa tarde... tenho sofrido desde sábado um problema que só pode ser
> alguma tentativa de ataque ou flood dns que ta pondo o processamento do
> servidor na tampa, e o que é pior consumindo muito o link.
>
> pra ter noção quando eu rodo um tcpdump pra capturar o fluxo na porta 53 as
> linhas que aparece são tantas que no começo nem acreditei que se tratava
> apenas de fluxo na porta 53, é muita coisa... e o que é pior é que os ips
> origem são diversos, 81.84.52.187,  173.68.241.225,
>  91.121.3.44, 46.163.67.40 etc etc são tantos que acaba por se confundir
> com os verdadeiros.
>
> Outra coisa notada é que, isso ocorre na placa externa. Olhei o fluxo na
> nic interna e vi que não tinha nada de estranho (tipo um virus que imaginei
> no começo).
>
> Penso que dropar conexões não ajuda muito, uma vez que mesmo assim os
> pacotes chegarão no servidor (para serem dropados) e quando isso ocorre o
> link já foi consumido.
> Outra coisa que notei de estranho é que o gráfico de consumo da nic externa
> mostra um fluxo alto de saída desde último sábado.
>
> Neste caso o que é a medida mais certa a ser tomada?

Será que você deixou o servidor recursivo aberto na interface externa?

Se for bind, como está o parâmetro allow-query?

-- 
Renato Botelho