Mechanic Posted December 12, 2020 Posted December 12, 2020 Стоит сервер dns на bind, в логах присутствует флуд своих клиентов, долбят один сайт. Dec 12 20:29:22 named[40427]: query-errors: info: client @0x7fee00b2ae90 178.16..57#50442 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038 Dec 12 20:29:22 named[40427]: query-errors: info: client @0x7fedfc0c74f0 178.16..183#48097 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038 Dec 12 20:29:22 named[40427]: query-errors: info: client @0x7fedfc0c74f0 83.143..155#42984 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038 Dec 12 20:29:22 named[40427]: query-errors: info: client @0x7fedfc0c74f0 178.16..194#52049 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038 Как выявлять таких в автоматическом режиме ? Вставить ник Quote
sdy_moscow Posted December 12, 2020 Posted December 12, 2020 8 минут назад, Mechanic сказал: Как выявлять таких в автоматическом режиме ? Что в вашем понимании значит: ... выявлять таких в автоматическом режиме ... ? Вы этот лог сами руками набили? Вставить ник Quote
ipaddr.ru Posted December 12, 2020 Posted December 12, 2020 10 minutes ago, Mechanic said: Как выявлять таких в автоматическом режиме ? С какой целью? Посмотрите на https://www.spamhaus.com/resource-center/what-is-passive-dns-a-beginners-guide/ Вставить ник Quote
Mechanic Posted December 12, 2020 Author Posted December 12, 2020 7 минут назад, sdy_moscow сказал: Что в вашем понимании значит: ... выявлять таких в автоматическом режиме ... ? Вы этот лог сами руками набили? формировать перечень ip которые долбятся на Dns, потом лечить клиентские устройства они же исх канал засирают лог- сыпится в named.log Вставить ник Quote
ipaddr.ru Posted December 12, 2020 Posted December 12, 2020 Записывайте весь DNS-трафик для статистического анализа, утилит полно. Или отдавайте его кому-нибудь из безопасников для такого же анализа. Вставить ник Quote
Megas Posted December 12, 2020 Posted December 12, 2020 (edited) я сейчас активно пытаюсь внедрить:https://github.com/dmachard/dnstap-receiver очень классная штука, кушает достаточно хорошую нагрузку. в бэкэнде стоит grafana cloud agent + loki + cortex Все легко кастомизируется и запускается. А в обще проблем не вижу, ставите железный балансир, за ним ферму из dnsdist, делаете рейты с одного ипа, дальше опять же, agent + cortex + alerts. При большом желании можно завернуть все в кубы. Edited December 12, 2020 by Megas Вставить ник Quote
Mechanic Posted December 12, 2020 Author Posted December 12, 2020 2 минуты назад, ipaddr.ru сказал: Записывайте весь DNS-трафик для статистического анализа, утилит полно. Или отдавайте его кому-нибудь из безопасников для такого же анализа. вот и интересно какие утилиты используются для анализа, причем используются на реальной сети Вставить ник Quote
ipaddr.ru Posted December 12, 2020 Posted December 12, 2020 2 minutes ago, Mechanic said: вот и интересно какие утилиты используются для анализа, причем используются на реальной сети https://www.dns-oarc.net/oarc/tools Вставить ник Quote
Megas Posted December 12, 2020 Posted December 12, 2020 Пример отрисовки статистики в графане Вставить ник Quote
lugoblin Posted December 12, 2020 Posted December 12, 2020 1 hour ago, Mechanic said: формировать перечень ip которые долбятся на Dns, потом лечить клиентские устройства они же исх канал засирают лог- сыпится в named.log Почему бы не грепать лог? Красивой картинки не получится, зато список адресов будет. По мере зачистки мальвари у клиентов, лог и список адресов будут уменьшаться. Вставить ник Quote
pppoetest Posted December 13, 2020 Posted December 13, 2020 12 часов назад, Mechanic сказал: Как выявлять таких в автоматическом режиме ? Может проще сразу зарейтлимитить ? Вставить ник Quote
sheft Posted December 13, 2020 Posted December 13, 2020 тогда у клиента совсем инет отвалится, вся очередь будет забита овном, и реальный запрос пролетит как фанера над .. Вставить ник Quote
Megas Posted December 13, 2020 Posted December 13, 2020 А может начать с простого? Построить сперва все таки статистику, вывести QPS, вывести количество NOERROR, NXDOMAINS и т.д.? Вывести средний рейт с клиента) Тут возможностей и способов обработки миллион, можно сделать безумно гибкую систему с самообучением и реагированием. Вставить ник Quote
Mechanic Posted December 14, 2020 Author Posted December 14, 2020 20 часов назад, Megas сказал: А может начать с простого? Построить сперва все таки статистику, вывести QPS, вывести количество NOERROR, NXDOMAINS и т.д.? Вывести средний рейт с клиента) Тут возможностей и способов обработки миллион, можно сделать безумно гибкую систему с самообучением и реагированием. вопрос как бы и есть, на чем построить мониторинг и как вылавливать Вставить ник Quote
Megas Posted December 14, 2020 Posted December 14, 2020 так я же Вам выше написал рецепт, он рабочий и масштабируемый. гибкость максимальная, нагрузка минимальная. все можно решать в динамике. ну запустите cortex+grafana+node_exporter+bind_exporter+grafana cloud agent, все в контейнерах стартует в 2 клика через compose дальше крутите и смотрите на ваши цифры. Вставить ник Quote
Ivan_83 Posted December 14, 2020 Posted December 14, 2020 Всё равно не понятно зачем. Если долбят одно и тоже - поставьте чтобы негативный ответ тоже кешировался, и пусть долбятся в кеш. Ещё рейтлимиты per ip клиента хорошо помогут от флуда. Вставить ник Quote
rover-lt Posted December 15, 2020 Posted December 15, 2020 15 hours ago, Megas said: так я же Вам выше написал рецепт, он рабочий и масштабируемый. гибкость максимальная, нагрузка минимальная. все можно решать в динамике. ну запустите cortex+grafana+node_exporter+bind_exporter+grafana cloud agent, все в контейнерах стартует в 2 клика через compose дальше крутите и смотрите на ваши цифры. хоспади! теперь для установки dns сервера требуется 10 техников, 20 SRE и 30 devops? Вставить ник Quote
YuryD Posted December 15, 2020 Posted December 15, 2020 А кто говорил, что клиенты используют только dns провайдера ? Ну долбится кто-то свой, для остальных мой bind использовать ни к чему. А уж своего найти - ну легко, dnstop например. Всякие гадости например любят кучу dns-запросов генерить, или кто-то чего-то саабовское недокрутил у себя. Параноить на тему кастрации днс-запросов клиента не хочу, но если уж кому хочется - ограничьте число запросов в сек. Вставить ник Quote
Saab95 Posted December 15, 2020 Posted December 15, 2020 Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем. Вставить ник Quote
YuryD Posted December 15, 2020 Posted December 15, 2020 42 минуты назад, Saab95 сказал: Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем. Если бы я не видел у своих клиентов dns-ampl от микротиков. Нут так научите всех поклонников отключать все ненужные сервисы, или отключайте в заводских по умолчанию. Вставить ник Quote
Ivan_83 Posted December 16, 2020 Posted December 16, 2020 10 часов назад, Saab95 сказал: Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем. Опущенский бич провайдер, который не может поднять днс рекурсер с кешем и сливает данные о действиях абонентов в реальном времени третьим лицам. Вставить ник Quote
Megas Posted December 16, 2020 Posted December 16, 2020 В 15.12.2020 в 10:51, rover-lt сказал: хоспади! теперь для установки dns сервера требуется 10 техников, 20 SRE и 30 devops? серьезно? здесь задача на 15 минут скачать нужные файлы, еще 15 минут чтобы настроить борды. неужели квалификация опса уже такая низкая наше время? Вставить ник Quote
ayf Posted December 17, 2020 Posted December 17, 2020 В 16.12.2020 в 04:22, Ivan_83 сказал: Опущенский бич провайдер, который не может поднять днс рекурсер с кешем и сливает данные о действиях абонентов в реальном времени третьим лицам. Ну не знаю. Если клиент у меня проблемный, то я ему по умолчанию делаю DNS Яндекса с фильтрацией сайтов для взрослых. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.