Jump to content
Калькуляторы

Странный DNS трафик

Не сталкивался пока с таким. Прошу помощь зала. :-)

 

Летят с аплинков, типа, ответы на запросы. Причем сугубо на авторитативные DNS-сервера с адреса 8.8.8.8. Запросов, естественно, небыло. (Кто-ж гугловский паблик за авторитативные сервера-то принимать будет?) Пакеты уходят в отлуп statefull firewall. Летят пачками по 40 с небольшим штук.

 

В ответах - "ServFail[|domain]". (tcpdump header)

 

Добрые люди пытаются DNS chache poisoning организовать?

Share this post


Link to post
Share on other sites

Я бы перепроверил настройки DNS — может где-то там недавно накосячили.

Но скорее всего хакеры балуются.

Share this post


Link to post
Share on other sites

3 минуты назад, alibek сказал:

Я бы перепроверил настройки DNS — может где-то там недавно накосячили.

Я хуже сделал: нетфлоу смотрел. :-)))

Небыло запросов. Совсем.

Share this post


Link to post
Share on other sites

 

В 30.03.2018 в 18:02, snvoronkov сказал:

Небыло запросов. Совсем

Че-то похожее на DNS amplification,не совсем понятно из вашего описания,но если запросов не было...

Share this post


Link to post
Share on other sites

6 часов назад, alexwin сказал:

 

Че-то похожее на DNS amplification,не совсем понятно из вашего описания,но если запросов не было...

Ну, это ежели-б в мну отовсюду такого хлама много летело, то я-б согласился. А так : пачками по ~40 пакетов, сугубо с 8.8.8.8, сугубо на праймари и секондари... Идиотия, вопщем. ;-)

Share this post


Link to post
Share on other sites

4 часа назад, snvoronkov сказал:

Ну, это ежели-б в мну отовсюду такого хлама много летело, то я-б согласился. А так : пачками по ~40 пакетов, сугубо с 8.8.8.8, сугубо на праймари и секондари... Идиотия, вопщем. ;-)

А,теперь понятней. Вообще,похоже на обычный рекурсивный запрос. Странно,правда что пачками летят. А у вас TTL у записей какой?

Share this post


Link to post
Share on other sites

2 часа назад, alexwin сказал:

А,теперь понятней. Вообще,похоже на обычный рекурсивный запрос. Странно,правда что пачками летят. А у вас TTL у записей какой?

У которых записей? :-) И чей запрос?

 

Летят сугубо нхдомайн. Сразу. С портом источника в 53.

Share this post


Link to post
Share on other sites

7 минут назад, snvoronkov сказал:

Летят сугубо нхдомайн

Ну так сразу подробнее надо было описать :)

Share this post


Link to post
Share on other sites

27 минут назад, alexwin сказал:

Ну так сразу подробнее надо было описать :)

А в первом сообщении - чего? ;-)

Share this post


Link to post
Share on other sites

если срц порт 53, то это не оригинальные 8.8.8.8 шлют, а кто-то спуфит..

Share this post


Link to post
Share on other sites

4 часа назад, zhenya` сказал:

если срц порт 53, то это не оригинальные 8.8.8.8 шлют, а кто-то спуфит..

Вот мне и интересно, на что оно надежды питает? Что угадает кучу случайных параметров? Реально настолько идиотично? Эти дыры с отравлением кэша уже лет семь-десять, вроде, как закрыли. Да и цель весьма странная. С учётом того, что эти минифлуды летят только на два авторитативных днса. На рекурсеры ничего подобного не идет.

Share this post


Link to post
Share on other sites

Тут трут сообщения или я забываю нажать на отправить ?

с вашей стороны IP одни и теже ? С большой вероятностью когото ДДОсят запрашивая у 8.8.8.8 чтонить типа

 

<random>.domain.cn

 

т.к. рандом разный, то в кеше нет ответа и все это летит на сервер владельца зоны domain.cn и тот, бедный, получая 100500 запросов в секунду склеивает ласты.

 

Но т.к. если слать напрямую, то шансы, что долбящего вычислят увеличиваются, отпять же надо следить чтобы фейковые src не рубились легко и непринудженно по несовпадению откуда они могут прилетать и откуда это реально льется... а так он шлет это на 8.8.8.8 с рандомными SRC .. гуглу это дробинка, он не заметит и не станет фильтровать, он много пережует, а вот жертве приходит толпа запросов со всех серверов гугла, куда попадают такие запросы. Забанить гугл? ну врядли.  впринципе забанив гугл он поможет нападающим, сам себя отрубит от очень большого количества пользователей. Ну да, гугл честно отправляет ответы тем, с чьими IP к нему пришли запросы..

 

IP ваши, если там только авторитативные а не пачка рандомных.. ну значит чтото в голове у хакера сказало что надо взять сервера, являющиеся NSами.. зачем ? может он думал что он же и рекурсор, настроенный на форвард на 8.8.8.8, и от него все одно летит пачка запросов... не спрашивайте, почему ктото мог так подумать, я только предположил.

Share this post


Link to post
Share on other sites

Guest
This topic is now closed to further replies.