[zhenya`]

а если поставить

val-clean-additional: yes

val-permissive-mode: yes

 

val-log-level: 1

?

[Alex_P89]

val-clean-additional: yes

val-permissive-mode: yes

никаких изменений

[pppoetest]

Как вариант - блокируется доступ на днс сервер, обслуживающий это доменное имя/алиас.

[Alex_P89]

Методом тыка нашёл проблему.

Не работало из-за опции

use-caps-for-id: yes

Описание этой опции есть в документации: http://unbound.net/documentation/unbound.conf.html

[foxroot]

Добрый день, всем снова!

ночью все поработало, на утро когда абонентов стало больше все снова тупит.

а именно от клиентов если выполнять команду nslookup иногда резолв приходит более 2 сек или вообще не приходит,повторно проверяешь придет, страницы открываются долго. КУда копать подскажите. Уже убрал весь iptables с сервера

[Telesis]

Методом тыка нашёл проблему.

Не работало из-за опции

use-caps-for-id: yes

Описание этой опции есть в документации: http://unbound.net/documentation/unbound.conf.html

В версии 1.4.22, действительно не работает с этой опцией. А вот в версии 1.5.4 работает с этой опцией.

В новых версиях можно делать caps-whitelist:

[Ivan_83]

Есть проблема с unbound. Без форвардинга на ДНС гугла и яндекса, при работе только на roothits, не работают некоторые доменные имена. Например www.360totalsecurity.com

У меня работают.

 

ночью все поработало, на утро когда абонентов стало больше все снова тупит.

Буфера сокетов через сисцтл увеличивал или на дефолтах пытаешься работать?

 

В версии 1.4.22, действительно не работает с этой опцией. А вот в версии 1.5.4 работает с этой опцией. В новых версиях можно делать caps-whitelist:

1. Опция нах не нужна, лучше и не включать

2. Чего то и вас он старый, 1.5.8 в портах фри доступен.

[foxroot]

Удалось обнаружить вот что

unbound-control dump_requestlist

thread #0

# type cl name seconds module status

0 A IN c.statcounter.com. 11.646771 iterator wait for 173.245.59.145

1 A IN x.mochiads.com. 24.749909 iterator wait for 38.102.129.45

2 A IN ad.a-ads.com. 15.203339 iterator wait for 173.245.59.61

3 A IN ns2.storevpsdns.me. - iterator wait for 198.50.227.253

4 A IN ns9.storevpsdns.me. - iterator wait for 198.50.227.248

5 A IN www.yahoo.com. - iterator wait for 121.101.144.139

6 A IN www.statcounter.com. 4.492462 iterator wait for 173.245.58.135

7 A IN abot.www.ps780.com. 12.044313 iterator wait for 173.245.58.109

8 A IN ahed.www.369bs.com. 15.400845 iterator wait for 173.245.58.119

9 A IN arwz.www.ps780.com. 5.310634 iterator wait for 173.245.58.109

10 A IN clcp.www.ps780.com. 6.766279 iterator wait for 173.245.58.109

11 A IN ehcd.www.369bs.com. 3.647674 iterator wait for 173.245.58.119

12 A IN elup.www.ps780.com. 13.361080 iterator wait for 173.245.58.109

13 A IN grsl.www.ps780.com. 15.120960 iterator wait for 173.245.58.109

14 A IN gvgx.www.ps780.com. 14.577199 iterator wait for 173.245.58.109

15 A IN kbyr.www.ps780.com. 12.211061 iterator wait for 173.245.58.109

16 A IN kfwh.www.369bs.com. 11.741045 iterator wait for 173.245.58.119

17 A IN kzyr.www.369bs.com. 13.941050 iterator wait for 173.245.58.119

18 A IN mpcf.www.ps780.com. 13.039508 iterator wait for 173.245.58.109

19 A IN ns10.storevpsdns.me. - iterator wait for 142.54.168.130

20 A IN ns11.storevpsdns.me. - iterator wait for 198.50.227.250

21 A IN ns12.storevpsdns.me. - iterator wait for 142.54.168.131

22 A IN otir.www.369bs.com. 1.204562 iterator wait for 173.245.58.119

23 A IN oven.www.ps780.com. 6.900964 iterator wait for 173.245.58.109

24 A IN ovyf.www.ps780.com. 4.906603 iterator wait for 173.245.58.109

25 A IN play.animevost.org. 5.591381 iterator wait for 173.245.58.149

26 A IN qdwf.www.369bs.com. 4.926788 iterator wait for 173.245.58.119

27 A IN srv1.playitok.com. 12.234111 iterator wait for 173.245.58.125

28 A IN uhan.www.ps780.com. 4.237602 iterator wait for 173.245.58.109

29 A IN wrcf.www.369bs.com. 12.000124 iterator wait for 173.245.58.119

30 A IN axwxwp.www.369bs.com. 2.792097 iterator wait for 173.245.58.119

31 A IN coinad.com. 129.996140 iterator wait for 173.245.59.153

 

Это что атак или спам?

[zhenya`]

Аксес контролом то описал кому можно резолвить?

[NiTr0]

open recursive dns же, dns ddos amplification или типа того... а может червячок у кого из юзеров живет...

 

я rate limit делаю на свои днс сервера iptables-ом. у нормального пользователя навряд больше полусотни запросов за 5 секунд будет.

[foxroot]

Да про такую проблему я уже почила, рекомендуют ограничить 53/udp в сторону клиентов.

на DNS пробовал делать такую штуку

#[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 0F 00 01|" -m recent --set --name MXFLOOD --rsource

#[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 0F 00 01|" -m recent --update --seconds 60 --hitcount 5 --rttl --name MXFLOOD -j DROP

#[0:0] -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 0F 00 01|" -j ACCEPT

#[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 1C 00 01|" -m recent --set --name AAAAFLOOD --rsource

#[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 1C 00 01|" -m recent --update --seconds 10 --hitcount 2 --rttl --name AAAAFLOOD -j DROP

#[0:0] -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 1C 00 01|" -j ACCEPT

#[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 02 00 01|" -m recent --set --name NSFLOOD --rsource

#[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 02 00 01|" -m recent --update --seconds 60 --hitcount 10 --rttl --name NSFLOOD -j DROP

#[0:0] -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 02 00 01|" -j ACCEPT

#[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 06 00 01|" -m recent --set --name SOAFLOOD --rsource

#[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 06 00 01|" -m recent --update --seconds 60 --hitcount 5 --rttl --name SOAFLOOD -j DROP

#[0:0] -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 06 00 01|" -j ACCEPT

#[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 21 00 01|" -m recent --set --name SRVFLOOD --rsource

#[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 21 00 01|" -m recent --update --seconds 60 --hitcount 5 --rttl --name SRVFLOOD -j DROP

#[0:0] -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 21 00 01|" -j ACCEPT

 

ограничивать количество пакетов в единицу времени, очень много драпов получается и притом тормозит сама служба DNS может конечно перегнул со счетчиками.

это и есть rate limit? или же rate limit что то другое?

[NiTr0]

лучше на мир ограничить для начала...

[foxroot]

нашел на одном сайте защитные правила на DNS сервера

https://github.com/smurfmonitor/dns-iptables-rules/blob/master/domain-blacklist.txt

 

кто нибудь пользовался?? чего делают они?

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x07737563 && 0x2c=0x6b646467 && 0x30=0x02636300" -j DROP -m comment --comment "DROP DNS Q suckddq.cc"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x076e6170 && 0x2c=0x6966756e && 0x30=0x03636f6d" -j DROP -m comment --comment "DROP DNS Q napifun.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x0768616b && 0x2c=0x34756d7a && 0x30=0x036e6574" -j DROP -m comment --comment "DROP DNS Q hak4umz.net"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x06616e6f && 0x2c=0x6e736303 && 0x30=0x636f6d00" -j DROP -m comment --comment "DROP DNS Q anonsc.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x03317831 && 0x2c=0x02637a00 && 0x30=0x00ff0001" -j DROP -m comment --comment "DROP DNS Q ANY 1x1.cz"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x05626668 && 0x2c=0x6d6d0363 && 0x30=0x6f6d0000 && 0x34=0x10000100" -j DROP -m comment --comment "DROP DNS Q TXT bfhmm.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x1c=0x1d420100 && 0x28=0x03697363 && 0x2c=0x036f7267 && 0x30=0x0000ff00" -j DROP -m comment --comment "DROP DNS Q ANY isc.org dns.id 0x1d42"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x1c=0x2a390100 && 0x28=0x03697363 && 0x2c=0x036f7267 && 0x30=0x0000ff00" -j DROP -m comment --comment "DROP DNS Q ANY isc.org dns.id 0x2a39"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x03697363 && 0x2c=0x036f7267 && 0x30=0x0000ff00" -j DROP -m comment --comment "DROP DNS Q ANY isc.org dns.id"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x07454445 && 0x2c&0xDFDFDFDF=0x4c494f4e && 0x30&0xFFDFDFFF=0x02535500" -j DROP -m comment --comment "DROP DNS Q edelion.su"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFFFDFDF=0x0432534f && 0x2c&0xDFFFDFDF=0x45025255" -j DROP -m comment --comment "DROP DNS Q 2soe.ru"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x04524950 && 0x2c&0xDFFFDFDF=0x45034e45 && 0x30&0xDFFFFFFF=0x540000FF" -j DROP -m comment --comment "DROP DNS Q ANY ripe.net"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0948495a && 0x2c&0xDFDFDFDF=0x42554c4c && 0x30&0xDFDFFFDF=0x4148024d && 0x34&0xDFFFFFFF=0x450000FF" -j DROP -m comment --comment "DROP DNS Q ANY hizbullah.me"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x11455647 && 0x2c&0xDFDFDFDF=0x454e4959 && 0x30&0xFFDFDFDF=0x2d4d4152 && 0x34&0xDFDFDFDF=0x4348454e && 0x38&0xDFDFFFDF=0x4b4f0243 && 0x3c&0xDFFFFFFF=0x43000001" -j DROP -m comment --comment "DROP DNS Q A evgeniy-marchenko.cc"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x05535256 && 0x2c&0xDFDFFFDF=0x4954034f && 0x30&0xDFDFFFFF=0x52470000" -j DROP -m comment --comment "DROP DNS Q srvit.org"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0b504143 && 0x2c&0xDFDFDFDF=0x4b455444 && 0x30&0xDFDFDFDF=0x4556494c && 0x34&0xFFDFDFDF=0x03434f4d && 0x38&0xFFFFFFFF=0x0000ff00" -j DROP -m comment --comment "DROP DNS Q ANY packetdevil.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xffdfdfdf=0x046a756e && 0x30&0xdfdfdfdf=0x65797761 && 0x36&0xffdfdfff=0x02696e00" -j DROP -m comment --comment "DROP DNS Q -DOS- junk.theywant.in"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xffdfdfdf=0x03545854 && 0x2c&0xffdfdfdf=0x08505753 && 0x30&0xdfdfdfdf=0x45525645 && 0x34&0xdfffdfdf=0x5203434f && 0x38&0xdfffdfff=0x02554100 && 0x3c&0xffffff=0x001000" -j DROP -m comment --comment "DROP DNS Q TXT txt.pwserver.com.ua"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x04494554 && 0x2c&0xDFFFDFDF=0x46034f52 && 0x30&0xDFFFFFFF=0x470000FF" -j DROP -m comment --comment "DROP DNS Q ANY ietf.org"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x03514841 && 0x2c&0xFFDFDFFF=0x02434300" -j DROP -m comment --comment "DROP DNS Q qha.cc"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFFF=0x064c4132 && 0x2c&0xDFDFDFFF=0x4c4f5702 && 0x30&0xDFDFFFFF=0x43430000" -j DROP -m comment --comment "DROP DNS Q la2low.cc"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x055a5a47 && 0x2c&0xDFDFFFDF=0x53540343 && 0x30&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q zzgst.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFFFDF=0x01410b50 && 0x2c&0xDFDFDFDF=0x41434b45 && 0x30&0xDFDFDFDF=0x54444556 && 0x34&0xDFDFFFDF=0x494c0343 && 0x38&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q a.packetdevil.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0758504c && 0x2c&0xDFDFDFDF=0x4f44494e && 0x30&0xFFDFDFDF=0x03434f4d" -j DROP -m comment --comment "DROP DNS Q xplodin.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFFF=0x02414106 && 0x2c&0xDFDFDFFF=0x41534433 && 0x30&0xDFDFFFDF=0x53430343 && 0x34&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q aa.asd3sc.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x09424954 && 0x2c&0xDFDFDFDF=0x53545245 && 0x30&0xDFDFDFDF=0x53530343 && 0x34&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q bitstress.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFFF=0x02414106 && 0x2c&0xDFDFDFDF=0x4d4d5441 && 0x30&0xDFFFFFDF=0x43310343 && 0x34&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q aa.mmtac1.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0c4b4944 && 0x2c&0xDFDFFFFF=0x44593332 && 0x30&0xFFFFFFFF=0x33333635 && 0x34&0xFFFFDFDF=0x35025255" -j DROP -m comment --comment "DROP DNS Q kiddy3233655.ru"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFFFFF=0x05443639 && 0x2c&0xFFFFFFDF=0x39310343 && 0x30&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q d6991.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFFF=0x06414133 && 0x2c&0xFFFFFFFF=0x32343703 && 0x30&0xDFDFDFFF=0x434f4d00" -j DROP -m comment --comment "DROP DNS Q aa3247.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x08464b46 && 0x2c&0xDFDFDFDF=0x4b464b46 && 0x30&0xDFFFDFDF=0x4103434f" -j DROP -m comment --comment "DROP DNS Q fkfkfkfa.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0a475241 && 0x2c&0xDFDFDFDF=0x50505942 && 0x30&0xDFDFDFFF=0x4c4f4703 && 0x34&0xDFDFDFFF=0x434f4d00" -j DROP -m comment --comment "DROP DNS Q grappyblog.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x05434d49 && 0x2c&0xDFDFFFDF=0x55490343 && 0x30&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q cmiui.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFFFDFDF=0x05344657 && 0x2c&0xDFDFFFDF=0x484b0343 && 0x30&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q 4fwhk.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0653414e && 0x2c&0xDFDFDFFF=0x44494103 && 0x30&0xDFDFDFFF=0x474f5600 && 0x34&0xFFFFFFFF=0x00ff0001" -j DROP -m comment --comment "DROP DNS Q ANY sandia.gov"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0a5a4149 && 0x2c&0xDFDFDFDF=0x4b415041 && 0x30&0xDFDFDFFF=0x494b4103 && 0x34&0xDFDFDFFF=0x434f4d00" -j DROP -m comment --comment "DROP DNS Q zaikapaika.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x08564552 && 0x2c&0xDFDFDFDF=0x49534947 && 0x30&0xDFFFDFDF=0x4e03434f && 0x34&0xDFFFFFFF=0x4d0000ff" -j DROP -m comment --comment "DROP DNS Q ANY verisign.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0453454d && 0x2c&0xDFFFDFDF=0x4102435a && 0x30&0xFFFFFFDF=0x0000ff00" -j DROP -m comment --comment "DROP DNS Q ANY sema.cz"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x04504b54 && 0x2c&0xDFFFDFDF=0x53044153 && 0x30&0xDFDFFFFF=0x49410000" -j DROP -m comment --comment "DROP DNS Q pkts.asia"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0a49524c && 0x2c&0xDFDFDFDF=0x57494e4e && 0x30&0xDFDFDFFF=0x494e4703 && 0x34&0xDFDFDFFF=0x434f4d00" -j DROP -m comment --comment "DROP DNS Q irlwinning.com"

iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x05333739 && 0x2c&0xDFDFFFDF=0x5a430343 && 0x30&0xDFDFFF00=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q 379zc.com"

[Megas]

http://www.stableit.ru/2013/02/iptables-dns.html

[zhenya`]

Проще закрыть рекурсию из мира.

 

А особо флудящим клиентам закрыть входящий порт 53 с мира.

[YuryD]

Проще закрыть рекурсию из мира.

 

А особо флудящим клиентам закрыть входящий порт 53 с мира.

Во freebsd есть хорошая утилита dnstop, чтобы днс-флудера найти у себя.

[pppoetest]

Эта утилита есть не только в бзде. )))

[Lariosik]

Шлюз на небольшую конторку ~100 человек со squd3. C bind странички открываются заметно быстрее, чем unbound. В инет в выходные я лезу и один (не считая почтовика) . Пробовал с форвардингом и без.

server:
verbosity: 3
num-threads: 4
port: 53
interface: 127.0.0.1                  # Интерфейсы на котором будем слушать 53-й порт
interface: 192.168.0.4
interface-automatic: no               # Определять интерфейсы автоматически мне не нужно
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
username: unbound
logfile: "/var/log/unbound.log"
use-syslog: no
hide-version: yes
outgoing-range: 950
num-queries-per-thread: 512
root-hints: "/etc/unbound/root.hints"
so-rcvbuf: 4m
so-sndbuf: 4m
#forward-zone:
#  name: "."
#  forward-addr: 8.8.8.8
#  forward-addr: 208.67.222.222
remote-control:
 control-enable: no

Изменено 30 апреля, 2016 пользователем Lariosik

[zhenya`]

Prefetch уберите

[Rudz]

Prefetch уберите

 

зачем, чтоб в будни ещё медленнее стало?

 

Шлюз на небольшую конторку ~100 человек со squd3. C bind странички открываются заметно быстрее, чем unbound.

 

num-threads: 4
outgoing-range: 950
num-queries-per-thread: 512

 

 

подозреваю, что анбаунд у вас поставлен из какого-то пакета, и собран с тредами, но без libevent.

уменьшите либо num-threads до 1 (для 100 человек у вас всё равно только один тред пахать всегда будет, это мизерная нагрузка), либо outgoing-range до 200 или даже 150 (и соответственно num-queries-per-thread где-то до 64) - у вас банально дескрипторы в 1024 не влезают.

[Mechanic]

bind перестал резолвить dellin.ru, обновил named.root, все равно никак

другие днс из нашей подсети нормально все резолвят

куда копать ?

[s.lobanov]

dig +trace проблемный_домен

[andryas]

После экспериментов с несколькими dns вернулся обратно на named. Там того не хватает, там то глючит...

В результате первичный и вторичный полностью на named, уже месяц как забыл о проблемах с DNS.