LINUX.ORG.RU
решено ФорумAdmin

Неизвестный трафик


0

1

Кто-то судорожно долбится ко мне, в данный момент: static-acs-24-239-84-226.zoominternet.net 0x3e2c8773.mobile.telia.dk

tcpdump -X -s 1500 -n -i enp3s0 выдаёт следующее:

00:05:32.306063 IP 24.239.84.226.58029 > 192.168.1.1.53: 24474+ [1au] ANY? isc.org. (36)
        0x0000:  4510 0040 2118 0000 f911 710a 18ef 54e2  E..@!.....q...T.
        0x0010:  c0a8 0101 e2ad 0035 002c 7ca7 5f9a 0100  .......5.,|._...
        0x0020:  0001 0000 0000 0001 0369 7363 036f 7267  .........isc.org
        0x0030:  0000 ff00 0100 0029 2328 0000 0000 0000  .......)#(......
00:05:32.311776 IP 62.44.135.115.16728 > 192.168.1.1.53: 61086+ [1au] ANY? isc.org. (36)
        0x0000:  4510 0040 2119 0000 f911 193b 3e2c 8773  E..@!......;>,.s
        0x0010:  c0a8 0101 4158 0035 002c 372a ee9e 0100  ....AX.5.,7*....
        0x0020:  0001 0000 0000 0001 0369 7363 036f 7267  .........isc.org
        0x0030:  0000 ff00 0100 0029 2328 0000 0000 0000  .......)#(.....
Это трафик исходящий от меня. Причём я сделал
iptables -A FORWARD -d 24.239.0.0/16 -j DROP
iptables -A FORWARD -d 62.44.0.0/16 -j DROP
iptables -A INPUT -d 24.239.0.0/16 -j DROP
iptables -A INPUT -d 62.44.0.0/16 -j DROP
но как-то что-то не помогает. При этом при включении named трафик им же поступает, но и ко мне поток ещё больший (около 700 Kb/s) tcpdump выдаёт следующее: http://pastebin.com/mEzvU5SW Интернет подключён 40 Мбит/сек, трафик идёт намного меньший, однако интернет очень сильно начинает тупить. При начале активности named ест 4-7% от i3 (ivy самый маломощный, не помню модель какая). При этом признаю, что named я настраивал довольно криво, времени мало было. Первый раз столкнулся с такой бедой, с DNS тоже впервые имею дело. Что разве нормально? Подчёркиваю, что трафик от меня им же идёт даже при выключенном named, а при включённом ещё и ко мне.



Последнее исправление: nivs (всего исправлений: 1)

ну у инпута надо -s ключ, если хотите интернеты порезать, вроде
про днс - слышал только про способ организации DDoS средствами запросов к dns

ii343hbka ★★★
()
Ответ на: комментарий от ii343hbka

Вот это появилось после -s:

stratfordwireless-pat.uc.edu
78-23-208-96.access.telenet.be
0x3e2c8773.mobile.telia.dk
Смотрю через iftop. Как-то мне это совсем не нравится. Пока вырубил named. Был бы DDoS, наверное, исходящий трафик отсутствовал бы.

nivs
() автор топика
Ответ на: комментарий от nivs

Был бы DDoS, наверное, исходящий трафик отсутствовал бы.

Наоборот, если не на тебя атака. Видать долго у тебя криво настроенный сервак стоял, если давно проснифили, а теперь используют на полную.

baka-kun ★★★★★
()

что то мне подсказывает, что через тебе резловят

как минимум разрешай рекурсию только для своих хостов

ещё посмотри в iptraf , если длинна пакета одинаковая - бань по длинне

ещё можешь посмотреть в сторону отражения атаки резолва точек (standart query root <.>)

visual ★★★
()
Ответ на: комментарий от visual

Пока успокоилось, вырубил к чертям named. Соберусь с силами и настрою, но чуть позже. Сервер домашний, не особо страшно, но тем не менее. Ох уж я его потом отнастраиваю.

nivs
() автор топика
Ответ на: комментарий от baka-kun

Да, как-то в эту сторону я не подумал. Правда я даже не знаю, где там может быть дыра: процессы все запускаются от непривилегированных пользователей, порты открыты только нужные, поднят openfire, postfix только для исходящей почты, named (был), apache для файлопомойки, openVPN. Доступ по SSH только по ключам, VNC и nxserver включаю только при необходимости каждый раз, когда надо воспользоваться. Чёрт его знает. Я ну очень самоучка, что-то явно упустил.

nivs
() автор топика
Ответ на: комментарий от nivs

Правда я даже не знаю, где там может быть дыра…

Здесь достаточно, чтобы bind отвечал на всякие левые запросы, желательно пакетами заметно большей длины, чем запросы. Тогда вместо атаки цели напрямую шлют кучу пакетов якобы от адреса жертвы таким серверам, а они весело заливают еще бóльшим трафиком.

baka-kun ★★★★★
()
Ответ на: комментарий от baka-kun

Да, я забыл указать, что имел ввиду классическое проникновение на сервер с получением прав доступа одного из пользователей. С named я разберусь обязательно. Пока что какие-то левые серваки льют на мой сервер трафик в том же объёме. Причём пока я писал это сообщение, трафик прекратился. Вывод: пошаманить над фильтрами, настроить named и больше не оставлять ненастроенных демонов. Спасибо за помощь.

nivs
() автор топика
Ответ на: комментарий от Pinkbyte

Ага помню такое, забыл как то указать, чтоб днс можно было пользоваться моим хостам. Результат гигобайты не понятного трафика пока не вкурил что все кому не лень пользуются моим днс. Думаю тут похожий случий

mannaz2004
()
Ответ на: комментарий от mannaz2004

Ну я вообще сам хотел DNS'ом моим пользоваться удалённо, но всё чаще и чаще подмывает включить на автозапуск при подключении интернета соединение с сервером по openVPN и выход в интернет через него. А тут ещё и такой прекрасный повод.

Нагуглил на эту тему информации немного, запретил рекурсию, всё отлично запрещается, данные не выдаются. Но, к сожалению, на сервак нацелились не плохо так, долбят трафиком с нескольких серверов порядка 80 Kb, как только включаю named (с запретом на рекурсии) входящий трафик снижается, появляется исходящий примерно на том же уровне, но соединение становится с сервером крайне медленным. Придётся банить как-то этих засранцев, не знаю. Ну и в остальном понастраивать bind. Все беды от кривых рук, однако.

nivs
() автор топика
Ответ на: комментарий от nivs

Был было! Конечно! А ещё в добавок это было на ADSL вот тут ваще жопа исходящий забьёт 80кб и всё!

mannaz2004
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.