Неизвестный трафик

ну у инпута надо -s ключ, если хотите интернеты порезать, вроде
про днс - слышал только про способ организации DDoS средствами запросов к dns

Вот это появилось после -s:

stratfordwireless-pat.uc.edu
78-23-208-96.access.telenet.be
0x3e2c8773.mobile.telia.dk

Был бы DDoS, наверное, исходящий трафик отсутствовал бы.

Наоборот, если не на тебя атака. Видать долго у тебя криво настроенный сервак стоял, если давно проснифили, а теперь используют на полную.

что то мне подсказывает, что через тебе резловят

как минимум разрешай рекурсию только для своих хостов

ещё посмотри в iptraf , если длинна пакета одинаковая - бань по длинне

ещё можешь посмотреть в сторону отражения атаки резолва точек (standart query root <.>)

Пока успокоилось, вырубил к чертям named. Соберусь с силами и настрою, но чуть позже. Сервер домашний, не особо страшно, но тем не менее. Ох уж я его потом отнастраиваю.

Да, как-то в эту сторону я не подумал. Правда я даже не знаю, где там может быть дыра: процессы все запускаются от непривилегированных пользователей, порты открыты только нужные, поднят openfire, postfix только для исходящей почты, named (был), apache для файлопомойки, openVPN. Доступ по SSH только по ключам, VNC и nxserver включаю только при необходимости каждый раз, когда надо воспользоваться. Чёрт его знает. Я ну очень самоучка, что-то явно упустил.

Правда я даже не знаю, где там может быть дыра…

Здесь достаточно, чтобы bind отвечал на всякие левые запросы, желательно пакетами заметно большей длины, чем запросы. Тогда вместо атаки цели напрямую шлют кучу пакетов якобы от адреса жертвы таким серверам, а они весело заливают еще бóльшим трафиком.

пропиши allow-recursion(если ты еще этого не сделал) и покажи товарищам болт

Да, я забыл указать, что имел ввиду классическое проникновение на сервер с получением прав доступа одного из пользователей. С named я разберусь обязательно. Пока что какие-то левые серваки льют на мой сервер трафик в том же объёме. Причём пока я писал это сообщение, трафик прекратился. Вывод: пошаманить над фильтрами, настроить named и больше не оставлять ненастроенных демонов. Спасибо за помощь.

Ага помню такое, забыл как то указать, чтоб днс можно было пользоваться моим хостам. Результат гигобайты не понятного трафика пока не вкурил что все кому не лень пользуются моим днс. Думаю тут похожий случий

Ну я вообще сам хотел DNS'ом моим пользоваться удалённо, но всё чаще и чаще подмывает включить на автозапуск при подключении интернета соединение с сервером по openVPN и выход в интернет через него. А тут ещё и такой прекрасный повод.

Нагуглил на эту тему информации немного, запретил рекурсию, всё отлично запрещается, данные не выдаются. Но, к сожалению, на сервак нацелились не плохо так, долбят трафиком с нескольких серверов порядка 80 Kb, как только включаю named (с запретом на рекурсии) входящий трафик снижается, появляется исходящий примерно на том же уровне, но соединение становится с сервером крайне медленным. Придётся банить как-то этих засранцев, не знаю. Ну и в остальном понастраивать bind. Все беды от кривых рук, однако.

Был было! Конечно! А ещё в добавок это было на ADSL вот тут ваще жопа исходящий забьёт 80кб и всё!