[FUG-BR] flood dns parando servidor e consumindo link
Enio Marconcini
eniorm em gmail.com
Segunda Setembro 17 16:07:56 BRT 2012
2012/9/17 Renato Botelho <rbgarga em gmail.com>
> 2012/9/17 Enio Marconcini <eniorm em gmail.com>:
> > amigos boa tarde... tenho sofrido desde sábado um problema que só pode
> ser
> > alguma tentativa de ataque ou flood dns que ta pondo o processamento do
> > servidor na tampa, e o que é pior consumindo muito o link.
> >
> > pra ter noção quando eu rodo um tcpdump pra capturar o fluxo na porta 53
> as
> > linhas que aparece são tantas que no começo nem acreditei que se tratava
> > apenas de fluxo na porta 53, é muita coisa... e o que é pior é que os ips
> > origem são diversos, 81.84.52.187, 173.68.241.225,
> > 91.121.3.44, 46.163.67.40 etc etc são tantos que acaba por se confundir
> > com os verdadeiros.
> >
> > Outra coisa notada é que, isso ocorre na placa externa. Olhei o fluxo na
> > nic interna e vi que não tinha nada de estranho (tipo um virus que
> imaginei
> > no começo).
> >
> > Penso que dropar conexões não ajuda muito, uma vez que mesmo assim os
> > pacotes chegarão no servidor (para serem dropados) e quando isso ocorre o
> > link já foi consumido.
> > Outra coisa que notei de estranho é que o gráfico de consumo da nic
> externa
> > mostra um fluxo alto de saída desde último sábado.
> >
> > Neste caso o que é a medida mais certa a ser tomada?
>
> Será que você deixou o servidor recursivo aberto na interface externa?
>
> Se for bind, como está o parâmetro allow-query?
>
> --
> Renato Botelho
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Renato boa tarde. Obrigado por responder.
O named.conf não tinha essa diretiva na sessão Options. E pior trata-se de
um servidor bem antigo feito por um antigo técnico que havia aqui.
Hoje o named trabalhando com views, acrescentei o allow-query { "none"; };
no view que cuida da resolução externa. Parou de responder, e o tcpdump
mostra os pedidos como refused, e o messages mostra como query (cache)
denied, porém em grande número de tentativas.
Porém o site que fica hospedado e controlado por esse dns fica inacessível
com o allow-query ajustado para none, o que eu faço neste caso?
abraço
--
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
*
Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*
*"H**ave a trouble with windows: reboot!*
*Have a trouble with unix: be root!"*
*
*
*"Linux: para aqueles que odeiam o Windows."*
*"BSD: para aqueles que amam o Unix."*
Mais detalhes sobre a lista de discussão freebsd