Добрый вечер.
Несколько дней назад заметила что на днс кто-то яростно шлет запросы о чем в логах говорится:
... client x.x.x.x#14212: query (cache) 'se/ANY/IN' denied ... Причем ip разные, запросы одни и теже и поток уже не спадает пару дней. Банить по ip отпадает потому что запросы могут делать клиенты неизвестно с каких ip. Попытка сделать что-то типа iptables -A INPUT -p udp --dport 53 --match string --algo kmp --hex-string «domain» -j DROPне увенчалась успехом из-за «особенностей» ВПС.
Заметила что в запросе домен состоит из 2-х символов, а в пакете днс-запроса это выглядит так:
0000 00 00 ff ff 00 00 00 00 00 00 00 00 00 00 08 00 0010 45 00 00 40 16 d6 40 00 f0 11 c1 5b 65 6d 83 3b 0020 06 1f c4 23 60 60 00 35 00 2c 59 52 00 1e 01 00 0030 00 01 00 00 00 00 00 01 02 73 65 00 00 ff 00 01 ....... .se..... 0040 00 00 29 20 00 00 00 80 00 00 00 00 00 00 00 00и решила что можно как временно решение сделать с пом iptables u32:
iptables -A INPUT --proto udp --dport 53 -m u32 --u32 «0x38&0xffffffff=0x02736500» -j DROP Но что-то совсем не работает. Нужно решение на завтра-послезавтра до переезда на другой сервер. Что я делаю не так? Спасибо
