[FUG-BR] flood dns parando servidor e consumindo link
firebits
mrpa.security em gmail.com
Segunda Setembro 17 19:22:04 BRT 2012
Alem disso, pense na possibilidade de ter DNSSEC no DNS.
@firebitsbr
Em 17/09/2012 16:53, "Enio Marconcini" <eniorm em gmail.com> escreveu:
> 2012/9/17 firebits <mrpa.security em gmail.com>
>
> > Já não e hora de fazer paralelamente outra maquina com um DNS mais novo e
> > agendar um virada do DNS velho pro novo?
> >
> > @firebitsbr
> > Em 17/09/2012 16:08, "Enio Marconcini" <eniorm em gmail.com> escreveu:
> >
> > > 2012/9/17 Renato Botelho <rbgarga em gmail.com>
> > >
> > > > 2012/9/17 Enio Marconcini <eniorm em gmail.com>:
> > > > > amigos boa tarde... tenho sofrido desde sábado um problema que só
> > pode
> > > > ser
> > > > > alguma tentativa de ataque ou flood dns que ta pondo o
> processamento
> > do
> > > > > servidor na tampa, e o que é pior consumindo muito o link.
> > > > >
> > > > > pra ter noção quando eu rodo um tcpdump pra capturar o fluxo na
> porta
> > > 53
> > > > as
> > > > > linhas que aparece são tantas que no começo nem acreditei que se
> > > tratava
> > > > > apenas de fluxo na porta 53, é muita coisa... e o que é pior é que
> os
> > > ips
> > > > > origem são diversos, 81.84.52.187, 173.68.241.225,
> > > > > 91.121.3.44, 46.163.67.40 etc etc são tantos que acaba por se
> > > confundir
> > > > > com os verdadeiros.
> > > > >
> > > > > Outra coisa notada é que, isso ocorre na placa externa. Olhei o
> fluxo
> > > na
> > > > > nic interna e vi que não tinha nada de estranho (tipo um virus que
> > > > imaginei
> > > > > no começo).
> > > > >
> > > > > Penso que dropar conexões não ajuda muito, uma vez que mesmo assim
> os
> > > > > pacotes chegarão no servidor (para serem dropados) e quando isso
> > > ocorre o
> > > > > link já foi consumido.
> > > > > Outra coisa que notei de estranho é que o gráfico de consumo da nic
> > > > externa
> > > > > mostra um fluxo alto de saída desde último sábado.
> > > > >
> > > > > Neste caso o que é a medida mais certa a ser tomada?
> > > >
> > > > Será que você deixou o servidor recursivo aberto na interface
> externa?
> > > >
> > > > Se for bind, como está o parâmetro allow-query?
> > > >
> > > > --
> > > > Renato Botelho
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > >
> > >
> > > Renato boa tarde. Obrigado por responder.
> > > O named.conf não tinha essa diretiva na sessão Options. E pior trata-se
> > de
> > > um servidor bem antigo feito por um antigo técnico que havia aqui.
> > >
> > > Hoje o named trabalhando com views, acrescentei o allow-query { "none";
> > };
> > > no view que cuida da resolução externa. Parou de responder, e o tcpdump
> > > mostra os pedidos como refused, e o messages mostra como query (cache)
> > > denied, porém em grande número de tentativas.
> > >
> > > Porém o site que fica hospedado e controlado por esse dns fica
> > inacessível
> > > com o allow-query ajustado para none, o que eu faço neste caso?
> > >
> > > abraço
> > >
> > > --
> > > *ENIO RODRIGO MARCONCINI*
> > > @eniomarconcini <http://twitter.com/eniomarconcini>
> > > *
> > > Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*
> > >
> > > *"H**ave a trouble with windows: reboot!*
> > > *Have a trouble with unix: be root!"*
> > > *
> > > *
> > > *"Linux: para aqueles que odeiam o Windows."*
> > > *"BSD: para aqueles que amam o Unix."*
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> é o jeito vai ser esse mesmo, na realidade já passou da hora.... vou por um
> dns só pra cuidar do site. Porém e como fica essa diretiva allow-query e
> sobre a recursão no caso de ter o dns apenas para autoritativo?
>
> att
>
> --
> *ENIO RODRIGO MARCONCINI*
> @eniomarconcini <http://twitter.com/eniomarconcini>
> *
> Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*
>
> *"H**ave a trouble with windows: reboot!*
> *Have a trouble with unix: be root!"*
> *
> *
> *"Linux: para aqueles que odeiam o Windows."*
> *"BSD: para aqueles que amam o Unix."*
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd