LINUX.ORG.RU
ФорумAdmin

DNS flood. И как автоматом рулить файрволлом?


1

2

Офис, гейт на линуксе. Там же почта и днс. Канал наружу очень слабенький. Уже несколько дней валится бешеное (по меркам нашего канала) количество явно левых днс-запросов с разнообразных адресов. Типа такого:

[root@proxy ~]# tcpdump -ni ext0 dst host [my_server_ip] and dst port domain
05:56:34.761700 IP 76.174.73.27.38588 > [my_server_ip].domain: 14319+ [1au] ANY? . (28)

Сервер начинает честно отвечать негодяям, в итоге канал наружу забивается полностью:
[root@proxy ~]# tcpdump -ni ext0 src host [my_server_ip] and src port domain
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ext0, link-type EN10MB (Ethernet), capture size 96 bytes
05:58:37.149059 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS b.root-servers.net.,[|domain]
05:58:37.149667 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS m.root-servers.net.,[|domain]
05:58:37.150200 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS k.root-servers.net.,[|domain]
05:58:37.150578 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS i.root-servers.net.,[|domain]
05:58:37.150961 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS g.root-servers.net.,[|domain]
05:58:37.151332 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS e.root-servers.net.,[|domain]
05:58:37.151702 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS c.root-servers.net.,[|domain]
05:58:37.152072 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS a.root-servers.net.,[|domain]
05:58:37.152469 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS l.root-servers.net.,[|domain]
05:58:37.152847 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS j.root-servers.net.,[|domain]
05:58:37.153219 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS h.root-servers.net.,[|domain]
05:58:37.153589 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS f.root-servers.net.,[|domain]
05:58:37.153959 IP [my_server_ip].domain > 166.137.144.11.47537: 26997 13/13/2 NS d.root-servers.net.,[|domain]

Когда это только началось, я адреса, с которых валились запросы, руками банил в iptables. Когда счет пошел на сотни, мне это надоело.

Вопросы:
1. Какого хрена?! В смысле, зачем кому-то устраивать весь этот цирк?
2. Как банить негодяев автоматом? Чует мое сердце, должен быть способ, и не один.
Помогите, пожалуйста. Фак тут посмотрел, ответа не нашел.


а самим днсом не? allow-query allow-recursion allow-query-cache ? файрвол тебе ничего не даст. запросы то до тебя всё равно дойдут. а ботам как правило пофигу отвечают им или нет. фаервол прибьет их уже на твоей равно забьют.

Evgen25
()

1. Это так глупые какеры ddos устроить пытаются http://svsf40.icann.org/meetings/siliconvalley2011/presentation-dns-amplifica...
2a. закрыть доступ к dns снаружи (не всегда возможно)
2b. настроить acl (в принципе самый правильный вариант)
2c. парзить по крону логи bind'а и банить всех, кто задаёт вопрос “IN ANY +E” (quickfix, если 2a и 2b неприменимы)

beastie ★★★★★
()
Ответ на: комментарий от Evgen25

запросы то до тебя всё равно дойдут. а ботам как правило пофигу отвечают им или нет

Так забивается-то как раз канал на отдачу.

Borifed
() автор топика
Ответ на: комментарий от Deleted

Да, делегирован. Полностью закрыть низзя.

Borifed
() автор топика
Ответ на: комментарий от beastie

Полезная ссылка, спасибо.

2c. парзить по крону логи bind'а и банить всех, кто задаёт вопрос “IN ANY +E” (quickfix, если 2a и 2b неприменимы)

Чем конкретно парсить и банить? Чайник я :о(

Borifed
() автор топика
Ответ на: комментарий от Borifed

Отлично работает против ддосеров и брутфорсеров. Главное правильно нестроить.

fbiagent ★★★
()
Ответ на: комментарий от Borifed

Кто-то его пробовал в работе?

Да, только у нас он на FTP и WWW настроен, но натравить его на DNS недолго.

shrub ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.