snvoronkov Posted March 30, 2018 · Report post Не сталкивался пока с таким. Прошу помощь зала. :-) Летят с аплинков, типа, ответы на запросы. Причем сугубо на авторитативные DNS-сервера с адреса 8.8.8.8. Запросов, естественно, небыло. (Кто-ж гугловский паблик за авторитативные сервера-то принимать будет?) Пакеты уходят в отлуп statefull firewall. Летят пачками по 40 с небольшим штук. В ответах - "ServFail[|domain]". (tcpdump header) Добрые люди пытаются DNS chache poisoning организовать? Share this post Link to post Share on other sites More sharing options...
alibek Posted March 30, 2018 · Report post Я бы перепроверил настройки DNS — может где-то там недавно накосячили. Но скорее всего хакеры балуются. Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted March 30, 2018 · Report post 3 минуты назад, alibek сказал: Я бы перепроверил настройки DNS — может где-то там недавно накосячили. Я хуже сделал: нетфлоу смотрел. :-))) Небыло запросов. Совсем. Share this post Link to post Share on other sites More sharing options...
alexwin Posted March 31, 2018 · Report post В 30.03.2018 в 18:02, snvoronkov сказал: Небыло запросов. Совсем Че-то похожее на DNS amplification,не совсем понятно из вашего описания,но если запросов не было... Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted April 1, 2018 · Report post 6 часов назад, alexwin сказал: Че-то похожее на DNS amplification,не совсем понятно из вашего описания,но если запросов не было... Ну, это ежели-б в мну отовсюду такого хлама много летело, то я-б согласился. А так : пачками по ~40 пакетов, сугубо с 8.8.8.8, сугубо на праймари и секондари... Идиотия, вопщем. ;-) Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 1, 2018 · Report post 4 часа назад, snvoronkov сказал: Ну, это ежели-б в мну отовсюду такого хлама много летело, то я-б согласился. А так : пачками по ~40 пакетов, сугубо с 8.8.8.8, сугубо на праймари и секондари... Идиотия, вопщем. ;-) А,теперь понятней. Вообще,похоже на обычный рекурсивный запрос. Странно,правда что пачками летят. А у вас TTL у записей какой? Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted April 1, 2018 · Report post 2 часа назад, alexwin сказал: А,теперь понятней. Вообще,похоже на обычный рекурсивный запрос. Странно,правда что пачками летят. А у вас TTL у записей какой? У которых записей? :-) И чей запрос? Летят сугубо нхдомайн. Сразу. С портом источника в 53. Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 1, 2018 · Report post 7 минут назад, snvoronkov сказал: Летят сугубо нхдомайн Ну так сразу подробнее надо было описать :) Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted April 1, 2018 · Report post 27 минут назад, alexwin сказал: Ну так сразу подробнее надо было описать :) А в первом сообщении - чего? ;-) Share this post Link to post Share on other sites More sharing options...
zhenya` Posted April 1, 2018 · Report post если срц порт 53, то это не оригинальные 8.8.8.8 шлют, а кто-то спуфит.. Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted April 1, 2018 · Report post 4 часа назад, zhenya` сказал: если срц порт 53, то это не оригинальные 8.8.8.8 шлют, а кто-то спуфит.. Вот мне и интересно, на что оно надежды питает? Что угадает кучу случайных параметров? Реально настолько идиотично? Эти дыры с отравлением кэша уже лет семь-десять, вроде, как закрыли. Да и цель весьма странная. С учётом того, что эти минифлуды летят только на два авторитативных днса. На рекурсеры ничего подобного не идет. Share this post Link to post Share on other sites More sharing options...
st_re Posted April 1, 2018 · Report post Тут трут сообщения или я забываю нажать на отправить ? с вашей стороны IP одни и теже ? С большой вероятностью когото ДДОсят запрашивая у 8.8.8.8 чтонить типа <random>.domain.cn т.к. рандом разный, то в кеше нет ответа и все это летит на сервер владельца зоны domain.cn и тот, бедный, получая 100500 запросов в секунду склеивает ласты. Но т.к. если слать напрямую, то шансы, что долбящего вычислят увеличиваются, отпять же надо следить чтобы фейковые src не рубились легко и непринудженно по несовпадению откуда они могут прилетать и откуда это реально льется... а так он шлет это на 8.8.8.8 с рандомными SRC .. гуглу это дробинка, он не заметит и не станет фильтровать, он много пережует, а вот жертве приходит толпа запросов со всех серверов гугла, куда попадают такие запросы. Забанить гугл? ну врядли. впринципе забанив гугл он поможет нападающим, сам себя отрубит от очень большого количества пользователей. Ну да, гугл честно отправляет ответы тем, с чьими IP к нему пришли запросы.. IP ваши, если там только авторитативные а не пачка рандомных.. ну значит чтото в голове у хакера сказало что надо взять сервера, являющиеся NSами.. зачем ? может он думал что он же и рекурсор, настроенный на форвард на 8.8.8.8, и от него все одно летит пачка запросов... не спрашивайте, почему ктото мог так подумать, я только предположил. Share this post Link to post Share on other sites More sharing options...