Похоже что ддосят домашний днс. Не могу понять, как бороться :(

0

2

пришел седня домой и заметил, что интернеты стали подтупливать
попробовал интернеты со тачки, что их роутит - та же басня.
посмотрел в iftop и увидел кучу соединений на 53 порт
потом посмотрел в tcpdump -i ppp0 'port 53', а там такая картина
[code]
17:37:02.465978 IP 101.71.74.110.23008 > gw.domain: 57376+ [1au] A? a.packetdevil.com. (58) [0/22861]
17:37:02.520976 IP 101.71.74.110.9696 > gw.domain: 57376+ [1au] A? a.packetdevil.com. (58)
17:37:02.576128 IP 101.71.74.110.18208 > gw.domain: 8416+ [1au] A? a.packetdevil.com. (58)
17:37:02.634326 IP 101.71.74.110.3360 > gw.domain: 8416+ [1au] A? a.packetdevil.com. (58)
17:37:02.686337 IP 101.71.74.110.15648 > gw.domain: 8416+ [1au] A? a.packetdevil.com. (58)
17:37:02.686519 IP 101.71.74.110.53728 > gw.domain: 57376+ [1au] A? a.packetdevil.com. (58)
17:37:02.689170 IP 101.71.74.110.40736 > gw.domain: 8416+ [1au] A? a.packetdevil.com. (58)
17:37:02.744782 IP 101.71.74.110.50976 > gw.domain: 8416+ [1au] A? a.packetdevil.com. (58)
17:37:02.796424 IP 101.71.74.110.49632 > gw.domain: 57376+ [1au] A? a.packetdevil.com. (58)
17:37:02.851288 IP 101.71.74.110.47072 > gw.domain: 57376+ [1au] A? a.packetdevil.com. (58)
17:37:02.909356 IP 101.71.74.110.62240 > gw.domain: 8416+ [1au] A? a.packetdevil.com. (58)
17:37:02.965040 IP 101.71.74.110.17696 > gw.domain: 8416+ [1au] A? a.packetdevil.com. (58)
17:37:03.022006 IP 101.71.74.110.14465 > gw.domain: 4519+ [1au] A? a.packetdevil.com. (58)
17:37:03.024901 IP 101.71.74.110.11744 > gw.domain: 57376+ [1au] A? a.packetdevil.com. (58)
17:37:03.081423 IP 101.71.74.110.38487 > gw.domain: 18241+ [1au] A? a.packetdevil.com. (58)
17:37:03.154357 IP 101.71.74.110.2305 > gw.domain: 37159+ [1au] A? a.packetdevil.com. (58)
17:37:03.211154 IP 101.71.74.110.62432 > gw.domain: 57376+ [1au] A? a.packetdevil.com. (58)
17:37:03.215358 IP 101.71.74.110.25665 > gw.domain: 53735+ [1au] A? a.packetdevil.com. (58)
17:37:03.218144 IP 101.71.74.110.945 > gw.domain: 16887+ [1au] A? a.packetdevil.com. (58)
17:37:03.288677 IP 101.71.74.110.6513 > gw.domain: 311+ [1au] A? a.packetdevil.com. (58)
17:37:03.352078 IP 101.71.74.110.63767 > gw.domain: 1921+ [1au] A? a.packetdevil.com. (58)
17:37:03.418218 IP 101.71.74.110.63441 > gw.domain: 25047+ [1au] A? a.packetdevil.com. (58)
17:37:03.422207 IP 101.71.74.110.13073 > gw.domain: 41367+ [1au] A? a.packetdevil.com. (58)
17:37:03.494338 IP 101.71.74.110.62087 > gw.domain: 30609+ [1au] A? a.packetdevil.com. (58)
17:37:03.556270 IP 101.71.74.110.19495 > gw.domain: 6129+ [1au] A? a.packetdevil.com. (58)
17:37:03.628241 IP 101.71.74.110.48897 > gw.domain: 37159+ [1au] A? a.packetdevil.com. (58)
17:37:03.632356 IP 101.71.74.110.54257 > gw.domain: 33207+ [1au] A? a.packetdevil.com. (58)
17:37:03.685363 IP 101.71.74.110.2551 > gw.domain: 59297+ [1au] A? a.packetdevil.com. (58)
17:37:03.748606 IP 101.71.74.110.42561 > gw.domain: 53735+ [1au] A? a.packetdevil.com. (58)
17:37:03.752396 IP 101.71.74.110.19927 > gw.domain: 51137+ [1au] A? a.packetdevil.com. (58)
17:37:03.808646 IP 101.71.74.110.6807 > gw.domain: 34561+ [1au] A? a.packetdevil.com. (58)
17:37:03.812358 IP 101.71.74.110.26657 > gw.domain: 45319+ [1au] A? a.packetdevil.com. (58)
17:37:03.869430 IP 101.71.74.110.28663 > gw.domain: 59297+ [1au] A? a.packetdevil.com. (58)
17:37:03.930169 IP 101.71.74.110.61729 > gw.domain: 45319+ [1au] A? a.packetdevil.com. (58)
17:37:03.983529 IP 101.71.74.110.26679 > gw.domain: 10081+ [1au] A? a.packetdevil.com. (58)
[/code]

попробовал добавлять DROP в INPUT и PREROUTE у mangle - не помогает
остановил bind9 не помогает
более того, эти запросы не палятся в логах бинда

не могу понять, как с этим бороться :(
помогите, пожалуйста!:)

Ссылка

←	Поиск метода (и ключа)? для расшифровки/шифровки файла

Exim с поддержкой TLS и алгоритмов ГОСТ

→

не могу понять, как с этим бороться :(

Заюзать сторонний DNS сервис.

winddos ★★★
(12.09.13 18:39:16 MSK)

Ссылка

А днс обязательно наружу пускать?

lazyklimm ★★★★★
(12.09.13 19:04:12 MSK)

Ссылка

я отбился

самый простой способ (без xtrecent)

iptables -I INPUT -p udp --dport 53 -m string --algo bm --string "packetdevil" -j DROP

Ты из какой страны и какой ttl у трафика? ОБЯЗАТЕЛЬНО СДЕЛАЙ ДАМП

andrew667 ★★★★★
(12.09.13 21:41:44 MSK)

Ответ на: комментарий от andrew667 12.09.13 21:41:44 MSK

Россия, ttl гуляет от 105 до 113(сколько заметил)

у тебя тоже эта же фигня?)

ii343hbka ★★★
(12.09.13 23:05:48 MSK) автор топика
Последнее исправление: ii343hbka 12.09.13 23:06:22 MSK (всего исправлений: 1)

Ответ на: комментарий от ii343hbka 12.09.13 23:05:48 MSK

хм
у меня по строке не фильтровалось

я загуглил диапазон китайских ip и все их загнал в ipset
после этого, почему-то, лег весь интернет
когда правила удалил, эта херня вылечилась
больше запросов не вижу

ii343hbka ★★★
(12.09.13 23:41:23 MSK) автор топика

Ссылка

Ответ на: комментарий от ii343hbka 12.09.13 23:05:48 MSK

Беларусь ttl 250, 122, 123. Я залатался очень похожим правилом с использованием xtrecent. Людям сильно нагадили a.packetdevil.com. И прикол в том что типа айпишники с моей же сетки... Трафика было много (~500 мегабит на отдачу а на вход 15-20).

у меня по строке не фильтровалось

У меня 100% работает так

service iptables stop
modprobe -r xt_recent
modprobe xt_recent ip_list_tot=10000

Сам кусок iptables

IPTABLES="/sbin/iptables"
$IPTABLES -F
$IPTABLES -P INPUT DROP
-A INPUT -p udp -m udp --dport 53 -m string --hex-string "|01610b7061636b6574646576696c03636f6d00|" --algo bm --from 30 --to 65535 -m recent --set --name a_packetdevil --rsource 
-A INPUT -p udp -m udp --dport 53 -m string --hex-string "|01610b7061636b6574646576696c03636f6d00|" --algo bm --from 30 --to 65535 -m recent --rcheck --seconds 60 --hitcount 3 --name a_packetdevil --rsource -j DROP

andrew667 ★★★★★
(13.09.13 00:13:34 MSK)