Большой исходящий трафик от BIND

1

2

Пригласили сегодня виндовый админ посмотреть на одни cервак отданный ему в наследство, стоит там дебиан 6, он работает как прокси, днс, и DHCP, это все дело не обновлялось с 2010 года, и работало как часы до этих выходных.
Пожаловался он что люди не могут работать, инет тормозит и прочее. Ну немного покопавшись определил что бинд шлет тучи пакетов на 53 порты каких-то не понятных серверов, клаудфаре пару штук и немного других, при его отключении инет работает хорошо, но перестает работать резолвинг имен и обслуживание пары внутренних зон, ну я поднял dnsmasq прописал пару адресов и вроде люди довольны, но хотелось бы определить что это может быть?
Обновляться дебиан не хочет, предлагает только пару пакетов ядра обновить и на этом все, типа не находит реп, или реально нет обнов, пакеты ставятся без проблем.

Ссылка

←	И снова вопрос «linux-raid или аппаратный»

Не выключается по нажатию кнопки POWER на корпусе

→

dns amplification

router ★★★★★
(01.10.15 22:00:18 MSK)

Ссылка

Рекурсивные запросы извне разрешены?

sin_a ★★★★★
(01.10.15 22:01:50 MSK)

Бывает такое, надо в бинде отключить резолвить другие зоны кроме тех что есть конретно, или разрешить эту фичу только для внутрених коннектов, частая проблема на самом деле

Ien_Shepard ★★★
(01.10.15 22:02:27 MSK)

Ссылка

Ответ на: комментарий от sin_a 01.10.15 22:01:50 MSK

а как определить то, я далеко не админ, и бинд серьезно никогда не использовал

Novell-ch ★★★★★
(01.10.15 22:04:22 MSK) автор топика

Ответ на: комментарий от Novell-ch 01.10.15 22:04:22 MSK

забей первый комент этого топика в гугель - тебе будет хаутушка как поотключать все это

Deleted
(01.10.15 22:08:27 MSK)

Ссылка

Ответ на: комментарий от Novell-ch 01.10.15 22:04:22 MSK

и бинд серьезно никогда не использовал

Тут про всё скопом, в том числе, и про DNS:
https://www.us-cert.gov/ncas/alerts/TA14-017A

Вот из-за таких «один cервак отданный ему в наследство» весть бардак и творится в Интернет. А к кому-то вся эта гадость летит не с одного сервера, а с тысяч серверов таких вот растяп... Это хорошо, что ему канал забили, и он соизволил заметить.

AS ★★★★★
(01.10.15 23:08:47 MSK)

Ссылка

IP over DNS ?

Такое может быть и из-за виндотроянчиков на клиентской машине при отсутствии прямого доступа в интернет (т.е. только через HTTP PROXY).

Поскольку в старте темы есть упоминание прокси и нет упоминания ната, это вполне может быть вашим вариантом.

На практике были даже случаи, когда в физически изолированной от интернета компьютерной сети на основе оффтопа, контроллеры домена получали переполнение памяти и переставали обеспечивать интерактивный логин на клиентских ПК, лечилось перезапуском этих самых контроллеров домена.

Infra_HDC ★★★★★
(02.10.15 00:23:01 MSK)

Ссылка

это все дело не обновлялось с 2010 года

От уж идиоты то...

Обновляться дебиан не хочет, предлагает только пару пакетов ядра обновить и на этом все, типа не находит реп, или реально нет обнов, пакеты ставятся без проблем.

https://wiki.debian.org/ru/LTS/Using

Deleted
(02.10.15 16:02:30 MSK)