LINUX.ORG.RU
ФорумAdmin

Высокая загрузка DNS сервера провайдера


0

0

Имеем DNS сервер провайдера BIND 9.2.2.
DNS сервер соответственно обслуживает запросы, которые касаются только тех сетей которые выделены провайдеру организацией RIPE.
Настроил логирование запросов DNS сервера и увидел, что для публичных IP адресов наших абонентов в лог пишутся вот такие записи

16:34:11.791459 ссс.ффф.ууу.domain > 113.134.58.154.2472:  21459 NXDomain 0/1/0 (114) (DF)
16:34:12.007858 113.134.58.154.2472 > ссс.ффф.ууу.domain:  21460+ PTR? 56.1.168.192.in-addr.arpa. (43)

Т.е. IP присылает на мой DNS сервер запросы с попыткой разрешить приватный IP адрес в имя. Видимо у клиента в локалке настроена сеть из приватного диапазона 192.168.1.0/24.

И таких запросов порядка 60-70 тыс менее чем за 15 минут.

Вопросы следующие.

1. Что произошло в локалке клиента? Собственно нужно помогать и ему то же.
2. Как мне защитить свой DNS сервер от таких запросов, а то уже третий день перебои из за высокой нагрузки.
3. Может ли это быть связано с неверными настройками DNS сервера провайдера.
anonymous

Не заморачиваться и банить в файерволе. Если, конечно, адрес у вопрошающего не динамический.

Valmont ★★★
()
Ответ на: комментарий от Valmont

Можно конечно и в firewall настроить, но если запросы идут с DNS сервера внутренней локальной сети клиента?
Каким образом написать грамотно правила чтобы не отфильтровать правильные запросы к DNS серверу?

anonymous
()
Ответ на: комментарий от anonymous

Целесообразно не перекладывать вопрос с больной головы на здоровую. (Ваша здоровая :-) ) Со стороны клиента, согласно вашей статистике идет явный ддос. Блокировка от них запросов будет адекватной мерой для поддержки работоспособности вашего dns сервера, чтобы не страдали другие клиенты, коих большинство. Пусть их системный администратор и занимается вопросом, что у них не так. Если для вас по тем или иным причинам данная позиция не приемлема, то в iptables ( если у Вас linux ) в patch-o-matic есть модуль string, который в принципе может помочь решить поставленную задачу.

Может еще помочь анализ трафика с данного хоста (я имею ввиду их внешний ip) tcpdump'ом для составления правила или IDS какая-нить (snort).

//Может быть у них по умолчанию на всех хостах стоят ваши dns и что-то у них не складывается в межсетевом взаимодействии. Правда, больше похоже на какую-то вирусною активность. Слишком много запросов.

Valmont ★★★
()
Ответ на: комментарий от Valmont

Я был не совсем точен в описани проблемы.
60-70 тыс запросов указанного выше типа, идут с 14 IP адресов от разных компаний, те находятся в разных подсетях, а не с одного как могло показаться.

Спасибо за ответ.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.