Jump to content

Как боротся с вредоносным траффиком на 53 порт ?

Bond
 Share

Recommended Posts

Bond

Bond

Posted
Posted

На фрюхе поднят у нас внутренний днс сервер для внутренних сайтов, иногда активность на 53 udp порт становится такой высокой что процесс named начинает сжырать все ресурсы ОС, до тех пор пока юзеров от которых валит этот трафик не заблочиш в файрволе.

По UDP протоколу на этот порт нету большого колличества открытых портов, всё упирается в один порт к клиенту один к серверу, иат ма смотрю по трафшоу начинается движение пакетов.

Есть какието решения как можна с этим боротся в автоматическом режиме ?

nuclearcat

nuclearcat

Posted
Posted

Под Линуксом (циферки подкрутить):

 

-A INPUT -s 172.16.0.0/255.255.0.0 -p udp -m udp --dport 53 -m hashlimit --hashlimit 360/min --hashlimit-burst 500 --hashlimit-mode srcip --hashlimit-name DNSFLOOD -j ACCEPT

-A INPUT -s 172.16.0.0/255.255.0.0 -p udp -m udp --dport 53 -j LOG

-A INPUT -s 172.16.0.0/255.255.0.0 -p udp -m udp --dport 53 -j DROP

 

Если у юзера IP более-менее статичен - можно его загонять в -m recent и там редиректить на wildcard DNS, который его отпуляет на вебсервер, где ему покажут страничку с требованием полечиться. Конечно договор и законодательство должны позволять такие действия.

jab

jab

Posted
Posted
А под фрю сможет помочь только опытное и отзывчивое сообщество Фряшников :-)

Например jab :-)

А смысл ? Жалко тратить бисер.

bitbucket

bitbucket

Posted
Posted
процесс named начинает сжырать все ресурсы ОС

Есть какието решения как можна с этим боротся в автоматическом режиме ?

Поставить tinydns и dnscache. Или менять сервер на более шустрый: named тяжелая задача.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.