LINUX.ORG.RU
ФорумAdmin

Бинд и процессор


0

2

Доброе утро! Наблюдаю такую картину, сервер бинд грузит процессор по статистике top на 97%. Посмотрел логи syslog,

Nov 17 06:20:34 virt1 named[22008]: client 74.125.189.22#65335: query (cache) 'domain.ru/AAAA/IN' denied
Посмотрел whois domain.ru, указаны днс моего сервера, но на сервере данный домен не создан. Следовательно можно и предположить что отсюда и нагрузка.

named -v

BIND 9.8.4-rpz2+rl005.12-P1

Как можно исправить данную ситуацию?


Я правильно понимаю: на левом домене твой сервер прописали как DNS, и за резолвом этого домена к тебе ломится такая толпа, что на ответах 'denied' сервер сожрал 97% проца?

Варианты:
1. Написать владельцу домена, что он мудак
2. Написать регистратору, что владелец домена мудак
3. Завести у себя такую зону, поставить максимальное время кеширования записи, отвечать что адрес 127.0.0.1. Клиенты закешируют ответ и станут стучаться реже.
4. Сложно, но может помочь. Заблочить такие запросы в iptables по содержимому запроса, оно вроде умеет l7 introspection, сам никогда не пробовал. Блочить сразу в raw, чтобы на пришедший пакет не тратились ресурсы conntrack.

selivan ★★★
()
Ответ на: комментарий от LinuxUs

В смысле вариант 3, фейковую зону создаёшь? Если помогло - пометь топик как решённый, может ещё кому пригодится

selivan ★★★
()
Ответ на: комментарий от selivan

Проблема в том что до обновления такого не было, появилось после обновления Bind до версии 9.8.4. Конфиг bind стандартный, там не прописаны никакие options и другое.

LinuxUs
() автор топика
Ответ на: комментарий от blind_oracle
00:00:00.000043 IP АЙПИНАСЕРВЕРЕ.53 > АЙПИДЦ.19482: 3112 Refused- 0/0/0 (30)
00:00:00.000047 IP АЙПИНАСЕРВЕРЕ.53 > АЙПИДЦ.8520: 25286 Refused- 0/0/0 (30)
00:00:00.000050 IP АЙПИДЦ.8520 > АЙПИНАСЕРВЕРЕ.53: 25286 AAAA? domain.ru. (30)

АЙПИНАСЕРВЕРЕ - айпи днс сервера; АЙПИДЦ - айпи дата-центр где размещается сервер. domain.ru - домен у которого указаны мои днс, но сама зона не создана на сервере.

LinuxUs
() автор топика
Ответ на: комментарий от selivan

Завести у себя такую зону, поставить максимальное время кеширования записи, отвечать что адрес 127.0.0.1

А так поступать вообще прилично? Ничего не подозревающие пользователи могут пострадать же?

anonymous
()
Ответ на: комментарий от anonymous

Вполне. Всё равно пользователь не попадёт куда надо, так хоть от чужого сервера отстанет на некоторое время.

selivan ★★★
()
Ответ на: комментарий от LinuxUs

Какие там айпи и зона в общем абсолютно пофиг, главное для атаки - чтобы ответ превышал размер запроса. Обычно, конечно, запрашивают именно ту зону, которая у тебя прописана т.к. ответ будет больше.

blind_oracle ★★★★★
()
Ответ на: комментарий от selivan

Всё равно пользователь не попадёт куда надо

Именно. Он попадёт куда ему не надо. И какие от этого будут последствия предугадать невозможно: мало ли что у него на локалхосте расположена - может система жизнеобеспечения какая-нибудь.

Я так думаю, что админам, которые такое делают, надо для профилактики ломать руки. Ну пользовательские машины должны как-то защищаться от подобного вектора атаки, ведь админов столько расплодилось, что к тому времени когда всем руки переломаешь - первые уже из гипса повылезать успеют и обязательно ещё чего-нить испортят.

anonymous
()
Ответ на: комментарий от anonymous

Если у него на хосте система жизнеобеспечения, управляемая через браузер, причём подверженная CSRF-атакам - я ведь правильно понимаю, имелся в виду случайный переход по ссылке http://127.0.0.1/control/start-self-destruction?confirm=yes - то руки надо отрывать тем, кто её написал. Заворачивание нежелательных сайтов на 127.0.0.1 через hosts - стандартный и достаточно безобидный способ борьбы с ними. Особенно актуально для винды, где нет tcp_wrappers. Предлагаемое действие - полный аналог, только для тучи левых DNS-запросов.

А какой вариант решения проблемы предложишь ты, anonymous?

selivan ★★★
()
Ответ на: комментарий от selivan

Если у него на хосте система жизнеобеспечения, управляемая через браузер, причём подверженная CSRF-атакам - я ведь правильно понимаю, имелся в виду случайный переход по ссылке http://127.0.0.1/control/start-self-destruction?confirm=yes

Ну да.

то руки надо отрывать тем, кто её написал.

Ха. От CSRF начали массово предохраняться не так давно, а сколько таких систем уже успело попасть в продакшен в каких-нибудь критичных областях - так можно смело сказать что ноль, там же веками тестирование длится.

Заворачивание нежелательных сайтов на 127.0.0.1 через hosts - стандартный и достаточно безобидный способ борьбы с ними. Особенно актуально для винды, где нет tcp_wrappers. Предлагаемое действие - полный аналог, только для тучи левых DNS-запросов.

Установка сайтов на 127.0.0.1 - простой и надёжный способ защищаться от атак извне, которым часто пользуются.

А какой вариант решения проблемы предложишь ты, anonymous?

Отвечать Name Error как положено, а не гнать пользователя на левые адреса. Тем же кто будет продолжать злонамеренно заворачивать трафик на 127.0.0.1 или куда-либо ещё - на первый раз ломать руки, а при повторном совершении деяния - изолировать от общества лет на пять с пожизненным лишением права крутить какие-либо настройки в компьютерах.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.