Jump to content
Калькуляторы

выявление флуда на DNS

Стоит сервер dns на bind, в логах присутствует флуд своих клиентов, долбят один сайт.

Dec 12 20:29:22  named[40427]: query-errors: info: client @0x7fee00b2ae90 178.16..57#50442 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038
Dec 12 20:29:22  named[40427]: query-errors: info: client @0x7fedfc0c74f0 178.16..183#48097 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038
Dec 12 20:29:22  named[40427]: query-errors: info: client @0x7fedfc0c74f0 83.143..155#42984 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038
Dec 12 20:29:22  named[40427]: query-errors: info: client @0x7fedfc0c74f0 178.16..194#52049 (1x1.cz): query failed (SERVFAIL) for 1x1.cz/IN/ANY at ../../../bin/named/query.c:7038

Как выявлять таких в автоматическом режиме ?

Share this post


Link to post
Share on other sites
8 минут назад, Mechanic сказал:

Как выявлять таких в автоматическом режиме ?

Что в вашем понимании значит:

 ... выявлять таких в автоматическом режиме ...

?

Вы этот лог сами руками набили?

Share this post


Link to post
Share on other sites
7 минут назад, sdy_moscow сказал:

Что в вашем понимании значит:

 ... выявлять таких в автоматическом режиме ...

?

Вы этот лог сами руками набили?

формировать перечень ip которые долбятся на Dns, потом лечить клиентские устройства

они же исх канал засирают

лог- сыпится в named.log

Share this post


Link to post
Share on other sites

Записывайте весь DNS-трафик для статистического анализа, утилит полно. Или отдавайте его кому-нибудь из безопасников для такого же анализа.

Share this post


Link to post
Share on other sites

я сейчас активно пытаюсь внедрить:
https://github.com/dmachard/dnstap-receiver

очень классная штука, кушает достаточно хорошую нагрузку.
в бэкэнде стоит  grafana cloud agent + loki + cortex
Все легко кастомизируется и запускается.

А в обще проблем не вижу, ставите железный балансир, за ним ферму из dnsdist, делаете рейты с одного ипа, дальше опять же, agent + cortex + alerts.
При большом желании можно завернуть все в кубы.
 

Edited by Megas

Share this post


Link to post
Share on other sites
2 минуты назад, ipaddr.ru сказал:

Записывайте весь DNS-трафик для статистического анализа, утилит полно. Или отдавайте его кому-нибудь из безопасников для такого же анализа.

вот и интересно какие утилиты используются для анализа, причем используются на реальной сети

Share this post


Link to post
Share on other sites

Пример отрисовки статистики в графане

Screen Shot 2020-12-12 at 20.25.03.png

Screen Shot 2020-12-12 at 20.26.24.png

Share this post


Link to post
Share on other sites
1 hour ago, Mechanic said:

формировать перечень ip которые долбятся на Dns, потом лечить клиентские устройства

они же исх канал засирают

лог- сыпится в named.log

Почему бы не грепать лог? Красивой картинки не получится, зато список адресов будет. По мере зачистки мальвари у клиентов, лог и список адресов будут уменьшаться.

Share this post


Link to post
Share on other sites

тогда у клиента совсем инет отвалится, вся очередь будет забита овном, и реальный запрос пролетит как фанера над ..

Share this post


Link to post
Share on other sites

А может начать с простого?
Построить сперва все таки статистику, вывести QPS, вывести количество NOERROR, NXDOMAINS и т.д.?
Вывести средний рейт с клиента)

Тут возможностей и способов обработки миллион, можно сделать безумно гибкую систему с самообучением и реагированием.
 

Share this post


Link to post
Share on other sites
20 часов назад, Megas сказал:

А может начать с простого?
Построить сперва все таки статистику, вывести QPS, вывести количество NOERROR, NXDOMAINS и т.д.?
Вывести средний рейт с клиента)

Тут возможностей и способов обработки миллион, можно сделать безумно гибкую систему с самообучением и реагированием.
 

вопрос как бы и есть, на чем построить мониторинг и как вылавливать

Share this post


Link to post
Share on other sites

так я же Вам выше написал рецепт, он рабочий и масштабируемый.
гибкость максимальная, нагрузка минимальная.

все можно решать в динамике.

ну запустите cortex+grafana+node_exporter+bind_exporter+grafana cloud agent, все в контейнерах стартует в 2 клика через compose
дальше крутите и смотрите на ваши цифры.
 

Share this post


Link to post
Share on other sites

Всё равно не понятно зачем.

Если долбят одно и тоже - поставьте чтобы негативный ответ тоже кешировался, и пусть долбятся в кеш.

Ещё рейтлимиты per ip клиента хорошо помогут от флуда.

Share this post


Link to post
Share on other sites
15 hours ago, Megas said:

так я же Вам выше написал рецепт, он рабочий и масштабируемый.
гибкость максимальная, нагрузка минимальная.

все можно решать в динамике.

ну запустите cortex+grafana+node_exporter+bind_exporter+grafana cloud agent, все в контейнерах стартует в 2 клика через compose
дальше крутите и смотрите на ваши цифры.
 

хоспади! теперь для установки dns сервера  требуется 10 техников, 20 SRE и 30 devops?

 

Share this post


Link to post
Share on other sites

 А кто говорил, что клиенты используют только dns провайдера ? Ну долбится кто-то свой, для остальных мой bind использовать  ни к чему. А уж своего найти - ну легко, dnstop например. Всякие гадости например любят кучу dns-запросов генерить, или кто-то чего-то саабовское недокрутил у себя. Параноить на тему кастрации днс-запросов клиента не хочу, но если уж кому хочется - ограничьте число запросов в сек.

Share this post


Link to post
Share on other sites

Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем.

Share this post


Link to post
Share on other sites
42 минуты назад, Saab95 сказал:

Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем.

 Если бы я не видел у своих клиентов dns-ampl от микротиков. Нут так научите всех поклонников отключать все ненужные сервисы, или отключайте в заводских по умолчанию.

Share this post


Link to post
Share on other sites
10 часов назад, Saab95 сказал:

Мы уже давно не держим DNS у себя, выдаем абонентам публичные инетовские и никаких проблем.

Опущенский бич провайдер, который не может поднять днс рекурсер с кешем и сливает данные о действиях абонентов в реальном времени третьим лицам.

Share this post


Link to post
Share on other sites
В 15.12.2020 в 10:51, rover-lt сказал:

хоспади! теперь для установки dns сервера  требуется 10 техников, 20 SRE и 30 devops?

 


серьезно?
здесь задача на 15 минут скачать нужные файлы, еще 15 минут чтобы настроить борды.

неужели квалификация опса уже  такая низкая наше время?

Share this post


Link to post
Share on other sites
В 16.12.2020 в 04:22, Ivan_83 сказал:

Опущенский бич провайдер, который не может поднять днс рекурсер с кешем и сливает данные о действиях абонентов в реальном времени третьим лицам.

Ну не знаю. Если клиент у меня проблемный, то я ему по умолчанию делаю DNS Яндекса с фильтрацией сайтов для взрослых.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now