DNS UDP Flood (помогите разобраться, вторую неделю мучаюсь)

0

1

Шлюз, он же DNS (bind9), на Дебиане. Сетка ~60 компов на виндах с корпоративным дохторвебом на борту. Инет течет по ADSL, внешний IP статический, юзерам приходит через squid.

Периодически отваливается коннект с внешним миром. Сначала грешил на провайдера, но когда мне сказали, что на модем идет очень большое количество соединений, призадумался.

iptraf на внешнем интерфейсе показывает большой UDP-трафик на 53-м порту с внешнего интерфейса и на него же на какие-то левые айпишники, которые по whois если и резолвятся, то принадлежат неизвестным мне DNS-серверам. На bind'e в форвардах выставлены только гугловский 8.8.8.8 и днс провайдера (212.44.130.6). Делаю tcpdump, исключая запросы на и с этих адресов, получаю примерно следующее:

$my_external_ip.25935 > ns1.infobox.org.domain: [udp sum ok] 43664 A? webab01.autotracker.ru. (40)
15:06:23.165625 IP (tos 0x0, ttl 64, id 21711, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.20749 > ns1.infobox.org.domain: [udp sum ok] 59925 [1au] PTR? 250.140.221.77.in-addr.arpa. ar: . OPT UDPsize=4096 OK (56)
15:06:27.354475 IP (tos 0x0, ttl 64, id 12369, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.41289 > 77.221.140.250.domain: [udp sum ok] 10648 [1au] PTR? 250.140.221.77.in-addr.arpa. ar: . OPT UDPsize=512 OK (56)
15:06:28.730306 IP (tos 0x0, ttl 64, id 12370, offset 0, flags [none], proto UDP (17), length 68)
    $my_external_ip.53239 > 77.221.140.250.domain: [udp sum ok] 61168 A? webab01.autotracker.ru. (40)
15:06:29.633437 IP (tos 0x0, ttl 64, id 21712, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.19273 > ns1.infobox.org.domain: [udp sum ok] 8253 [1au] PTR? 250.140.221.77.in-addr.arpa. ar: . OPT UDPsize=512 OK (56)
15:06:31.087711 IP (tos 0x0, ttl 64, id 21713, offset 0, flags [none], proto UDP (17), length 68)
    $my_external_ip.33129 > ns1.infobox.org.domain: [udp sum ok] 26991 A? webab01.autotracker.ru. (40)
15:06:31.904956 IP (tos 0x0, ttl 64, id 12371, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.61717 > 77.221.140.250.domain: [udp sum ok] 10103 [1au] PTR? 250.130.221.77.in-addr.arpa. ar: . OPT UDPsize=4096 OK (56)
15:06:34.160545 IP (tos 0x0, ttl 64, id 12372, offset 0, flags [none], proto UDP (17), length 73)
    $my_external_ip.14135 > 77.221.140.250.domain: [udp sum ok] 52805 PTR? 250.140.221.77.in-addr.arpa. (45)
15:06:34.184569 IP (tos 0x0, ttl 64, id 21714, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.64271 > ns1.infobox.org.domain: [udp sum ok] 30450 [1au] PTR? 250.130.221.77.in-addr.arpa. ar: . OPT UDPsize=512 OK (56)
15:06:34.203071 IP (tos 0x0, ttl 58, id 49815, offset 0, flags [none], proto UDP (17), length 113)
    ns1.infobox.org.domain > $my_external_ip.64271: [udp sum ok] 30450*- q: PTR? 250.130.221.77.in-addr.arpa. 1/0/1 250.130.221.77.in-addr.arpa. [10m] PTR ns1.infobox.org. ar: . OPT UDPsize=4096 OK (85)
15:06:36.950079 IP (tos 0x0, ttl 64, id 21715, offset 0, flags [none], proto UDP (17), length 73)
    $my_external_ip.38954 > ns1.infobox.org.domain: [udp sum ok] 41920 PTR? 250.140.221.77.in-addr.arpa. (45)
15:06:36.967615 IP (tos 0x0, ttl 58, id 49816, offset 0, flags [none], proto UDP (17), length 134)
    ns1.infobox.org.domain > $my_external_ip.38954: [udp sum ok] 41920*- q: PTR? 250.140.221.77.in-addr.arpa. 1/2/0 250.140.221.77.in-addr.arpa. [10m] PTR ns2.infobox.org. ns: 140.221.77.in-addr.arpa. [10m] NS ns1.infobox.org., 140.221.77.in-addr.arpa. [10m] NS ns2.infobox.org. (106)
15:07:24.099990 IP (tos 0x0, ttl 64, id 1625, offset 0, flags [none], proto UDP (17), length 73)
    $my_external_ip.11814 > 71-26-155-213.hosting.ua.domain: [udp sum ok] 57226 [1au] A? valdex-group.com. ar: . OPT UDPsize=4096 OK (45)
15:07:24.100007 IP (tos 0x0, ttl 64, id 52778, offset 0, flags [none], proto UDP (17), length 73)
    $my_external_ip.5197 > c6.nstld.com.domain: [udp sum ok] 59794% [1au] A? ns75.hostia.name. ar: . OPT UDPsize=4096 OK (45)
15:07:24.900134 IP (tos 0x0, ttl 64, id 30069, offset 0, flags [none], proto UDP (17), length 73)
    $my_external_ip.54414 > d6.nstld.com.domain: [udp sum ok] 27304% [1au] A? ns75.hostia.name. ar: . OPT UDPsize=512 OK (45)
15:07:25.075582 IP (tos 0x0, ttl 46, id 45705, offset 0, flags [none], proto UDP (17), length 141)
    d6.nstld.com.domain > $my_external_ip.54414: [udp sum ok] 27304- q: A? ns75.hostia.name. 0/2/3 ns: hostia.name. [3h] NS ns1.hostia.name., hostia.name. [3h] NS ns2.hostia.name. ar: ns1.hostia.name. [3h] A 178.86.30.137, ns2.hostia.name. [3h] A 176.9.119.37, . OPT UDPsize=4096 OK (113)
15:07:28.360955 IP (tos 0x0, ttl 64, id 19916, offset 0, flags [none], proto UDP (17), length 75)
    $my_external_ip.31070 > ns0.stack.net.domain: [udp sum ok] 28322 [1au] A? www.tns-counter.ru. ar: . OPT UDPsize=4096 OK (47)
15:07:28.372974 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto UDP (17), length 144)
    ns0.stack.net.domain > $my_external_ip.31070: [udp sum ok] 28322*- q: A? www.tns-counter.ru. 5/0/0 www.tns-counter.ru. [1h] A 217.73.200.220, www.tns-counter.ru. [1h] A 217.73.200.219, www.tns-counter.ru. [1h] A 217.73.200.221, www.tns-counter.ru. [1h] A 217.73.200.222, www.tns-counter.ru. [1h] A 217.73.200.218 (116)

Такая вот байда возникает волнами и убивает канал. IP назначения постоянно разные. Что уже делал: - включал syncookies, увеличивал очередь syn, уменьшал таймаут syn; - делал проверку всех компов свежим CureIT; - курил выводы dnstop на обоих интерфейсах; - закрывал 53-й порт для внутренней подсетки (--sport & --dport в iptables); - включал snort на ночь, алертов не было. Безрезультатно.

Куда еще копнуть, что еще можно сделать?

Ссылка

←	Router OS (mikrotik) проблема нуба

Заблокировать подсеть OpenVPN

→

Для каких нужд используется bind (внутреннее использование/внешнее)?

Deleted
(18.01.13 15:35:52 MSK)

не обязательно вирусы

у меня роутер dir-100 флудил пока прошивку не поменял

anonymous
(18.01.13 15:39:09 MSK)

Ответ на: комментарий от Deleted 18.01.13 15:35:52 MSK

Для обоих вариантов. Во внешку ходит за форвардом, по внутренней отдает адреса локального веб-сервера (на нем корпоративный портал битриксовый).

Crewger
(18.01.13 16:02:16 MSK) автор топика

Ответ на: комментарий от Crewger 18.01.13 16:02:16 MSK

ну из внешки тебе же не надо отдавать имена, вот и закрой.

uspen ★★★★★
(18.01.13 16:03:40 MSK)

Ссылка

Ответ на: не обязательно вирусы от anonymous 18.01.13 15:39:09 MSK

Роутера аппаратного нет, всё на шлюзе. Есть, правда, пара dir-300 вафельку раздающих, но вряд ли дело в них.

Crewger
(18.01.13 16:04:33 MSK) автор топика

Ответ на: комментарий от Crewger 18.01.13 16:04:33 MSK

Либо то, что ты называешь шлюзом, шлюзом не является, либо закрыть можно.

greek_31 ★★
(18.01.13 17:49:57 MSK)

Ссылка

А у народа случаем не стоят всякие медиагеты?

pekmop1024 ★★★★★
(18.01.13 17:57:12 MSK)

Ответ на: комментарий от pekmop1024 18.01.13 17:57:12 MSK

Кстати, да - оп, а ты уверен, что компьютеры в локальной сети используют только твой DNS-сервер?

~~berrywizard~~ ★★★★★
(18.01.13 21:19:11 MSK)

DNS-сервер рекурсивный?

anonymous
(19.01.13 02:24:03 MSK)

Ответ на: комментарий от berrywizard 18.01.13 21:19:11 MSK

Это легко банится, так что не вижу причин быть не уверенным. :)

pekmop1024 ★★★★★
(19.01.13 06:59:45 MSK)

Ссылка

Ответ на: комментарий от berrywizard 18.01.13 21:19:11 MSK

Нет, по DHCP раздаются еще днсы провайдера и гугла, помимо локального.
Попробую убрать их оттуда и оставить только свой.

Crewger
(19.01.13 15:07:50 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 19.01.13 02:24:03 MSK

Да, рекурсив был включен еще предыдущим админом, но что интересно, почти год всё работало без нареканий, а за неделю до НГ начался эдакий локальный кабздец. Настройки никакие не трогались, разве что я мастер-зону создал, чтобы граждане юзеры ходили на локальный сайт по доменному имени такому же, как и из внешки.

Crewger
(19.01.13 15:10:24 MSK) автор топика

Ответ на: комментарий от Crewger 19.01.13 15:10:24 MSK

Я думал до тебя сразу дойдёт, когда я скажу про рекурсивность.

Настрой бинд быть рекурсивным только для определённых клиентов, ну? Изнутри можно, а снаружи...

anonymous
(19.01.13 15:44:21 MSK)

Ссылка

Ответ на: комментарий от Crewger 19.01.13 15:10:24 MSK

отключи рекурсивный DNS наружу, что через тебя китайцы не выясняли где гугл :-)

Pinkbyte ★★★★★
(20.01.13 21:24:52 MSK)

Ответ на: комментарий от Pinkbyte 20.01.13 21:24:52 MSK

Спасибо за идею, прописал в named.conf в разделе options{}:

 allow-recursion { localnet; };
        allow-query { localnet; };
        allow-query-cache { localnet; };

применил конфигурацию, но запросы откуда-то все равно поступают, и сервак вроде как даже отвечает:

 
 13:19:33.136099 IP (tos 0x0, ttl 48, id 20048, offset 0, flags [none], proto UDP (17), length 73)
    216.239.38.10.53 > $my_external_ip.16592: [udp sum ok] 28291 Refused- q: PTR? 216.47.194.173.in-addr.arpa. 0/0/0 (45)
13:19:33.136304 IP (tos 0x0, ttl 64, id 21817, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.62092 > 216.239.32.10.53: [udp sum ok] 37181 [1au] PTR? 216.47.194.173.in-addr.arpa. ar: . OPT UDPsize=4096 OK (56)
13:19:33.296435 IP (tos 0x0, ttl 43, id 40063, offset 0, flags [none], proto UDP (17), length 73)
    216.239.32.10.53 > $my_external_ip.62092: [udp sum ok] 37181 Refused- q: PTR? 216.47.194.173.in-addr.arpa. 0/0/0 (45)
13:19:33.296634 IP (tos 0x0, ttl 64, id 41303, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.5847 > 216.239.36.10.53: [udp sum ok] 7003 [1au] PTR? 216.47.194.173.in-addr.arpa. ar: . OPT UDPsize=4096 OK (56)
13:19:33.350007 IP (tos 0x0, ttl 50, id 32133, offset 0, flags [none], proto UDP (17), length 73)
    216.239.36.10.53 > $my_external_ip.5847: [udp sum ok] 7003 Refused- q: PTR? 216.47.194.173.in-addr.arpa. 0/0/0 (45)
13:19:33.987032 IP (tos 0x0, ttl 64, id 20149, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.21985 > 216.239.38.10.53: [udp sum ok] 35141 [1au] PTR? 216.47.194.173.in-addr.arpa. ar: . OPT UDPsize=4096 OK (56)
13:19:34.048386 IP (tos 0x0, ttl 48, id 31731, offset 0, flags [none], proto UDP (17), length 73)
    216.239.38.10.53 > $my_external_ip.21985: [udp sum ok] 35141 Refused- q: PTR? 216.47.194.173.in-addr.arpa. 0/0/0 (45)
13:19:34.048586 IP (tos 0x0, ttl 64, id 21818, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.36946 > 216.239.32.10.53: [udp sum ok] 44920 [1au] PTR? 216.47.194.173.in-addr.arpa. ar: . OPT UDPsize=4096 OK (56)
13:19:34.209206 IP (tos 0x0, ttl 43, id 33010, offset 0, flags [none], proto UDP (17), length 73)
    216.239.32.10.53 > $my_external_ip.36946: [udp sum ok] 44920 Refused- q: PTR? 216.47.194.173.in-addr.arpa. 0/0/0 (45)
13:19:34.209447 IP (tos 0x0, ttl 64, id 58562, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.24752 > 216.239.34.10.53: [udp sum ok] 49463 [1au] PTR? 216.47.194.173.in-addr.arpa. ar: . OPT UDPsize=4096 OK (56)
13:19:34.275151 IP (tos 0x0, ttl 49, id 25553, offset 0, flags [none], proto UDP (17), length 73)
    216.239.34.10.53 > $my_external_ip.24752: [udp sum ok] 49463 Refused- q: PTR? 216.47.194.173.in-addr.arpa. 0/0/0 (45)
13:19:34.275345 IP (tos 0x0, ttl 64, id 41304, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.47671 > 216.239.36.10.53: [udp sum ok] 1400 [1au] PTR? 216.47.194.173.in-addr.arpa. ar: . OPT UDPsize=4096 OK (56)
13:19:34.334237 IP (tos 0x0, ttl 50, id 6648, offset 0, flags [none], proto UDP (17), length 73)
    216.239.36.10.53 > $my_external_ip.47671: [udp sum ok] 1400 Refused- q: PTR? 216.47.194.173.in-addr.arpa. 0/0/0 (45)

Будут ли еще идеи?.. А если, к примеру, закрыть iptables'ами 53-й порт на внешний интерфейс на все адреса, кроме локалнета?

iptables -A INPUT -i eth0 -p udp --sport 53 -j DROP

Вот так например.

Crewger
(21.01.13 13:28:56 MSK) автор топика

Ответ на: комментарий от Crewger 21.01.13 13:28:56 MSK

сервак вроде как даже отвечает

он и будет отвечать, но уже Refused ;-)

Pinkbyte ★★★★★
(21.01.13 16:22:02 MSK)

Ответ на: комментарий от Pinkbyte 21.01.13 16:22:02 MSK

Шьорт, точно.
Спасибо тебе, губернатор Мортонс!

Crewger
(22.01.13 09:29:48 MSK) автор топика

Ответ на: комментарий от Crewger 22.01.13 09:29:48 MSK

Спасибо тебе, губернатор Мортонс!

Это де Бижу, Мортонс как истинный англичанин был в красном ;-)

Pinkbyte ★★★★★
(22.01.13 09:43:57 MSK)

Ответ на: комментарий от Pinkbyte 22.01.13 09:43:57 MSK

Ндэээ, давненько это было... Начало 2000-х... Всё и позабылось.

Crewger
(22.01.13 09:59:37 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Router OS (mikrotik) проблема нуба

Admin

Заблокировать подсеть OpenVPN

→

не обязательно вирусы

Похожие темы