[Mechanic]

Стоит сервер dns на bind, в логах присутствует флуд своих клиентов, долбят один сайт.

Dec 12 20:29:22  named[40427]: query-errors: info: client @0x7fee00b2ae90 178.16..57#50442 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038
Dec 12 20:29:22  named[40427]: query-errors: info: client @0x7fedfc0c74f0 178.16..183#48097 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038
Dec 12 20:29:22  named[40427]: query-errors: info: client @0x7fedfc0c74f0 83.143..155#42984 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038
Dec 12 20:29:22  named[40427]: query-errors: info: client @0x7fedfc0c74f0 178.16..194#52049 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038

Как выявлять таких в автоматическом режиме ?

[sdy_moscow]

8 минут назад, Mechanic сказал:

Как выявлять таких в автоматическом режиме ?

Что в вашем понимании значит:

 ... выявлять таких в автоматическом режиме ...

?

Вы этот лог сами руками набили?

[ipaddr.ru]

10 minutes ago, Mechanic said:

Как выявлять таких в автоматическом режиме ?

С какой целью?

 

Посмотрите на https://www.spamhaus.com/resource-center/what-is-passive-dns-a-beginners-guide/

[Mechanic]

7 минут назад, sdy_moscow сказал:

Что в вашем понимании значит:

 ... выявлять таких в автоматическом режиме ...

?

Вы этот лог сами руками набили?

формировать перечень ip которые долбятся на Dns, потом лечить клиентские устройства

они же исх канал засирают

лог- сыпится в named.log

[ipaddr.ru]

Записывайте весь DNS-трафик для статистического анализа, утилит полно. Или отдавайте его кому-нибудь из безопасников для такого же анализа.

[Megas]

я сейчас активно пытаюсь внедрить:
https://github.com/dmachard/dnstap-receiver

очень классная штука, кушает достаточно хорошую нагрузку.
в бэкэнде стоит  grafana cloud agent + loki + cortex
Все легко кастомизируется и запускается.

А в обще проблем не вижу, ставите железный балансир, за ним ферму из dnsdist, делаете рейты с одного ипа, дальше опять же, agent + cortex + alerts.
При большом желании можно завернуть все в кубы.
 

Изменено 12 декабря, 2020 пользователем Megas

[Mechanic]

2 минуты назад, ipaddr.ru сказал:

Записывайте весь DNS-трафик для статистического анализа, утилит полно. Или отдавайте его кому-нибудь из безопасников для такого же анализа.

вот и интересно какие утилиты используются для анализа, причем используются на реальной сети

[ipaddr.ru]

2 minutes ago, Mechanic said:

вот и интересно какие утилиты используются для анализа, причем используются на реальной сети

https://www.dns-oarc.net/oarc/tools

[Megas]

Пример отрисовки статистики в графане

[lugoblin]

1 hour ago, Mechanic said:

формировать перечень ip которые долбятся на Dns, потом лечить клиентские устройства

они же исх канал засирают

лог- сыпится в named.log

Почему бы не грепать лог? Красивой картинки не получится, зато список адресов будет. По мере зачистки мальвари у клиентов, лог и список адресов будут уменьшаться.

[pppoetest]

12 часов назад, Mechanic сказал:

Как выявлять таких в автоматическом режиме ?

Может проще сразу зарейтлимитить ?

[sheft]

тогда у клиента совсем инет отвалится, вся очередь будет забита овном, и реальный запрос пролетит как фанера над ..

[Megas]

А может начать с простого?
Построить сперва все таки статистику, вывести QPS, вывести количество NOERROR, NXDOMAINS и т.д.?
Вывести средний рейт с клиента)

Тут возможностей и способов обработки миллион, можно сделать безумно гибкую систему с самообучением и реагированием.
 

[Mechanic]

20 часов назад, Megas сказал:

А может начать с простого?
Построить сперва все таки статистику, вывести QPS, вывести количество NOERROR, NXDOMAINS и т.д.?
Вывести средний рейт с клиента)

Тут возможностей и способов обработки миллион, можно сделать безумно гибкую систему с самообучением и реагированием.
 

вопрос как бы и есть, на чем построить мониторинг и как вылавливать

[Megas]

так я же Вам выше написал рецепт, он рабочий и масштабируемый.
гибкость максимальная, нагрузка минимальная.

все можно решать в динамике.

ну запустите cortex+grafana+node_exporter+bind_exporter+grafana cloud agent, все в контейнерах стартует в 2 клика через compose
дальше крутите и смотрите на ваши цифры.
 

[Ivan_83]

Всё равно не понятно зачем.

Если долбят одно и тоже - поставьте чтобы негативный ответ тоже кешировался, и пусть долбятся в кеш.

Ещё рейтлимиты per ip клиента хорошо помогут от флуда.

[rover-lt]

15 hours ago, Megas said:

так я же Вам выше написал рецепт, он рабочий и масштабируемый.
гибкость максимальная, нагрузка минимальная.

все можно решать в динамике.

ну запустите cortex+grafana+node_exporter+bind_exporter+grafana cloud agent, все в контейнерах стартует в 2 клика через compose
дальше крутите и смотрите на ваши цифры.
 

хоспади! теперь для установки dns сервера  требуется 10 техников, 20 SRE и 30 devops?

 

[YuryD]

 А кто говорил, что клиенты используют только dns провайдера ? Ну долбится кто-то свой, для остальных мой bind использовать  ни к чему. А уж своего найти - ну легко, dnstop например. Всякие гадости например любят кучу dns-запросов генерить, или кто-то чего-то саабовское недокрутил у себя. Параноить на тему кастрации днс-запросов клиента не хочу, но если уж кому хочется - ограничьте число запросов в сек.

[Saab95]

Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем.

[YuryD]

42 минуты назад, Saab95 сказал:

Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем.

 Если бы я не видел у своих клиентов dns-ampl от микротиков. Нут так научите всех поклонников отключать все ненужные сервисы, или отключайте в заводских по умолчанию.

[Ivan_83]

10 часов назад, Saab95 сказал:

Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем.

Опущенский бич провайдер, который не может поднять днс рекурсер с кешем и сливает данные о действиях абонентов в реальном времени третьим лицам.

[Megas]

В 15.12.2020 в 10:51, rover-lt сказал:

хоспади! теперь для установки dns сервера  требуется 10 техников, 20 SRE и 30 devops?

 

серьезно?
здесь задача на 15 минут скачать нужные файлы, еще 15 минут чтобы настроить борды.

неужели квалификация опса уже  такая низкая наше время?

[ayf]

В 16.12.2020 в 04:22, Ivan_83 сказал:

Опущенский бич провайдер, который не может поднять днс рекурсер с кешем и сливает данные о действиях абонентов в реальном времени третьим лицам.

Ну не знаю. Если клиент у меня проблемный, то я ему по умолчанию делаю DNS Яндекса с фильтрацией сайтов для взрослых.