Mechanic Опубликовано 12 декабря, 2020 · Жалоба Стоит сервер dns на bind, в логах присутствует флуд своих клиентов, долбят один сайт. Dec 12 20:29:22 named[40427]: query-errors: info: client @0x7fee00b2ae90 178.16..57#50442 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038 Dec 12 20:29:22 named[40427]: query-errors: info: client @0x7fedfc0c74f0 178.16..183#48097 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038 Dec 12 20:29:22 named[40427]: query-errors: info: client @0x7fedfc0c74f0 83.143..155#42984 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038 Dec 12 20:29:22 named[40427]: query-errors: info: client @0x7fedfc0c74f0 178.16..194#52049 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038 Как выявлять таких в автоматическом режиме ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 12 декабря, 2020 · Жалоба 8 минут назад, Mechanic сказал: Как выявлять таких в автоматическом режиме ? Что в вашем понимании значит: ... выявлять таких в автоматическом режиме ... ? Вы этот лог сами руками набили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 12 декабря, 2020 · Жалоба 10 minutes ago, Mechanic said: Как выявлять таких в автоматическом режиме ? С какой целью? Посмотрите на https://www.spamhaus.com/resource-center/what-is-passive-dns-a-beginners-guide/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 12 декабря, 2020 · Жалоба 7 минут назад, sdy_moscow сказал: Что в вашем понимании значит: ... выявлять таких в автоматическом режиме ... ? Вы этот лог сами руками набили? формировать перечень ip которые долбятся на Dns, потом лечить клиентские устройства они же исх канал засирают лог- сыпится в named.log Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 12 декабря, 2020 · Жалоба Записывайте весь DNS-трафик для статистического анализа, утилит полно. Или отдавайте его кому-нибудь из безопасников для такого же анализа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 12 декабря, 2020 (изменено) · Жалоба я сейчас активно пытаюсь внедрить:https://github.com/dmachard/dnstap-receiver очень классная штука, кушает достаточно хорошую нагрузку. в бэкэнде стоит grafana cloud agent + loki + cortex Все легко кастомизируется и запускается. А в обще проблем не вижу, ставите железный балансир, за ним ферму из dnsdist, делаете рейты с одного ипа, дальше опять же, agent + cortex + alerts. При большом желании можно завернуть все в кубы. Изменено 12 декабря, 2020 пользователем Megas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 12 декабря, 2020 · Жалоба 2 минуты назад, ipaddr.ru сказал: Записывайте весь DNS-трафик для статистического анализа, утилит полно. Или отдавайте его кому-нибудь из безопасников для такого же анализа. вот и интересно какие утилиты используются для анализа, причем используются на реальной сети Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 12 декабря, 2020 · Жалоба 2 minutes ago, Mechanic said: вот и интересно какие утилиты используются для анализа, причем используются на реальной сети https://www.dns-oarc.net/oarc/tools Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 12 декабря, 2020 · Жалоба Пример отрисовки статистики в графане Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 12 декабря, 2020 · Жалоба 1 hour ago, Mechanic said: формировать перечень ip которые долбятся на Dns, потом лечить клиентские устройства они же исх канал засирают лог- сыпится в named.log Почему бы не грепать лог? Красивой картинки не получится, зато список адресов будет. По мере зачистки мальвари у клиентов, лог и список адресов будут уменьшаться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 13 декабря, 2020 · Жалоба 12 часов назад, Mechanic сказал: Как выявлять таких в автоматическом режиме ? Может проще сразу зарейтлимитить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sheft Опубликовано 13 декабря, 2020 · Жалоба тогда у клиента совсем инет отвалится, вся очередь будет забита овном, и реальный запрос пролетит как фанера над .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 13 декабря, 2020 · Жалоба А может начать с простого? Построить сперва все таки статистику, вывести QPS, вывести количество NOERROR, NXDOMAINS и т.д.? Вывести средний рейт с клиента) Тут возможностей и способов обработки миллион, можно сделать безумно гибкую систему с самообучением и реагированием. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 14 декабря, 2020 · Жалоба 20 часов назад, Megas сказал: А может начать с простого? Построить сперва все таки статистику, вывести QPS, вывести количество NOERROR, NXDOMAINS и т.д.? Вывести средний рейт с клиента) Тут возможностей и способов обработки миллион, можно сделать безумно гибкую систему с самообучением и реагированием. вопрос как бы и есть, на чем построить мониторинг и как вылавливать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 14 декабря, 2020 · Жалоба так я же Вам выше написал рецепт, он рабочий и масштабируемый. гибкость максимальная, нагрузка минимальная. все можно решать в динамике. ну запустите cortex+grafana+node_exporter+bind_exporter+grafana cloud agent, все в контейнерах стартует в 2 клика через compose дальше крутите и смотрите на ваши цифры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 декабря, 2020 · Жалоба Всё равно не понятно зачем. Если долбят одно и тоже - поставьте чтобы негативный ответ тоже кешировался, и пусть долбятся в кеш. Ещё рейтлимиты per ip клиента хорошо помогут от флуда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rover-lt Опубликовано 15 декабря, 2020 · Жалоба 15 hours ago, Megas said: так я же Вам выше написал рецепт, он рабочий и масштабируемый. гибкость максимальная, нагрузка минимальная. все можно решать в динамике. ну запустите cortex+grafana+node_exporter+bind_exporter+grafana cloud agent, все в контейнерах стартует в 2 клика через compose дальше крутите и смотрите на ваши цифры. хоспади! теперь для установки dns сервера требуется 10 техников, 20 SRE и 30 devops? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 15 декабря, 2020 · Жалоба А кто говорил, что клиенты используют только dns провайдера ? Ну долбится кто-то свой, для остальных мой bind использовать ни к чему. А уж своего найти - ну легко, dnstop например. Всякие гадости например любят кучу dns-запросов генерить, или кто-то чего-то саабовское недокрутил у себя. Параноить на тему кастрации днс-запросов клиента не хочу, но если уж кому хочется - ограничьте число запросов в сек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 декабря, 2020 · Жалоба Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 15 декабря, 2020 · Жалоба 42 минуты назад, Saab95 сказал: Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем. Если бы я не видел у своих клиентов dns-ampl от микротиков. Нут так научите всех поклонников отключать все ненужные сервисы, или отключайте в заводских по умолчанию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 декабря, 2020 · Жалоба 10 часов назад, Saab95 сказал: Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем. Опущенский бич провайдер, который не может поднять днс рекурсер с кешем и сливает данные о действиях абонентов в реальном времени третьим лицам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 16 декабря, 2020 · Жалоба В 15.12.2020 в 10:51, rover-lt сказал: хоспади! теперь для установки dns сервера требуется 10 техников, 20 SRE и 30 devops? серьезно? здесь задача на 15 минут скачать нужные файлы, еще 15 минут чтобы настроить борды. неужели квалификация опса уже такая низкая наше время? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 17 декабря, 2020 · Жалоба В 16.12.2020 в 04:22, Ivan_83 сказал: Опущенский бич провайдер, который не может поднять днс рекурсер с кешем и сливает данные о действиях абонентов в реальном времени третьим лицам. Ну не знаю. Если клиент у меня проблемный, то я ему по умолчанию делаю DNS Яндекса с фильтрацией сайтов для взрослых. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...