Офис, гейт на линуксе. Там же почта и днс. Канал наружу очень слабенький. Уже несколько дней валится бешеное (по меркам нашего канала) количество явно левых днс-запросов с разнообразных адресов. Типа такого:
[root@proxy ~]# tcpdump -ni ext0 dst host [my_server_ip] and dst port domain
05:56:34.761700 IP 76.174.73.27.38588 > [my_server_ip].domain: 14319+ [1au] ANY? . (28)
Сервер начинает честно отвечать негодяям, в итоге канал наружу забивается полностью:
[root@proxy ~]# tcpdump -ni ext0 src host [my_server_ip] and src port domain
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ext0, link-type EN10MB (Ethernet), capture size 96 bytes
05:58:37.149059 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS b.root-servers.net.,[|domain]
05:58:37.149667 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS m.root-servers.net.,[|domain]
05:58:37.150200 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS k.root-servers.net.,[|domain]
05:58:37.150578 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS i.root-servers.net.,[|domain]
05:58:37.150961 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS g.root-servers.net.,[|domain]
05:58:37.151332 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS e.root-servers.net.,[|domain]
05:58:37.151702 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS c.root-servers.net.,[|domain]
05:58:37.152072 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS a.root-servers.net.,[|domain]
05:58:37.152469 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS l.root-servers.net.,[|domain]
05:58:37.152847 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS j.root-servers.net.,[|domain]
05:58:37.153219 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS h.root-servers.net.,[|domain]
05:58:37.153589 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS f.root-servers.net.,[|domain]
05:58:37.153959 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS d.root-servers.net.,[|domain]
Когда это только началось, я адреса, с которых валились запросы, руками банил в iptables. Когда счет пошел на сотни, мне это надоело.
Вопросы:
1. Какого хрена?! В смысле, зачем кому-то устраивать весь этот цирк?
2. Как банить негодяев автоматом? Чует мое сердце, должен быть способ, и не один.
Помогите, пожалуйста. Фак тут посмотрел, ответа не нашел.