xDream Опубликовано 30 сентября, 2010 · Жалоба Всем привет! Обнаружили вот такое: [root@server xdream]# tcpdump dst server_ip and src server_ip tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ether1, link-type EN10MB (Ethernet), capture size 96 bytes 17:06:12.537073 IP server.36717 > server.domain: 17954+ A? img3.2125.com. (31) 17:06:13.330042 IP server.38671 > server.domain: 17954+ A? emotion.self.com.cn. (37) 17:06:25.003532 IP server.35671 > server.domain: 17954+ A? www.7caihua.com.cn. (36) 17:06:25.351711 IP server.40541 > server.domain: 17954+ A? food.21cn.com. (31) 17:06:38.645049 IP server.36041 > server.domain: 17954+ A? img2.trends.com.cn. (36) 17:06:54.625507 IP server.38749 > server.domain: 17954+ A? soap.hunantv.com. (34) 17:07:14.209061 IP server.34937 > server.domain: 17954+ A? hao7.9355.com. (31) 17:07:15.767718 IP server.42510 > server.domain: 17954+ A? www.go9939.net. (32) 17:07:24.986115 IP server.40832 > server.domain: 17954+ A? ss.tiancity.com. (33) 17:07:27.896557 IP server.37746 > server.domain: 17954+ A? ws6.cdntest.cdn20.com. (39) 17:07:31.330315 IP server.40957 > server.domain: 17954+ A? testfile15.top100.cn.lxdns.com. (48) 17:07:31.461470 IP server.35453 > server.domain: 17954+ A? yx.ccjoy.com. (30) 17:07:34.353925 IP server.38285 > server.domain: 17954+ A? testfile16.top100.cn.lxdns.com. (48) 17:07:41.957455 IP server.41852 > server.domain: 17954+ A? pic1.kaixin001.com.cn. (39) 17:07:43.064752 IP server.33019 > server.domain: 17954+ A? mc.lezi.com. (29) 17:07:47.963826 IP server.40601 > server.domain: 17954+ A? strp2.yokacdn.com. (35) 17:07:53.515498 IP server.36584 > server.domain: 17954+ A? static.zoomino.cn. (35) 17:07:56.397206 IP server.40160 > server.domain: 17954+ A? live.t.21cn.com. (33) 17:08:04.671937 IP server.41393 > server.domain: 17954+ A? www.52tiancai.com. (35) 17:08:05.027101 IP server.40346 > server.domain: 17954+ A? www.51amk.com. (31) 17:08:06.906673 IP server.38944 > server.domain: 17954+ A? www.fy88.net. (30) 17:08:08.165904 IP server.38434 > server.domain: 17954+ A? mymm.qidian.com. (33) 17:08:11.289954 IP server.42063 > server.domain: 17954+ A? down1.qidian.com. (34) 17:08:19.652012 IP server.37990 > server.domain: 17954+ A? lehuo.27.cn. (29) 17:08:34.281407 IP server.35215 > server.domain: 17954+ A? stream17.qqmusic.qq.com. (41) 17:08:42.409598 IP server.42172 > server.domain: 17954+ A? partuza.gzonline.net. (38) 17:08:45.944547 IP server.36151 > server.domain: 17954+ A? img2.27.cn. (28) 17:09:16.319537 IP server.38907 > server.domain: 17954+ A? sdo.loong3d.com. (33) 17:09:26.734039 IP server.38621 > server.domain: 17954+ A? www.greedland.net. (35) Т.е. на сервер приходят пакеты с подмененным IP адресом (равнм адресу самого сервера) Подскажить что это такое и опасно ли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 30 сентября, 2010 · Жалоба Вы уже выяснили откуда они идут - снаружи или изнутри Вашей AS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 30 сентября, 2010 · Жалоба Судя по всему флудят ns*.glb0.lxdns.com Вообще то кошерно на пограничном маршрутизаторе запрещать входящие из вне пакеты со своими src IP... (как, в прочем, и исходящие с не своими src) тогда отвалится вопрос, откуда берутся пакеты, снаружи или внутри. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 30 сентября, 2010 · Жалоба А у нас было! :) deny all from any to any not verrevpath in deny all from any to any not versrcreach in и даже deny all from any to any not antispoof in Just use FreeBSD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 1 октября, 2010 · Жалоба Я, конечно, понимаю, что ether1 и lo* - это разные интерфейсы, но не может ли быть такого, что заражён сам сервер? Если tcpdump запустить с ключом "-e", какой MAC-адрес отправителя он покажет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xDream Опубликовано 1 октября, 2010 · Жалоба Добрый день. s.lobanov, Нет не выяснили... А как? Вот тут на форуме похожая тема есть - пытются понять откуда идет DoS атака с подмененным IP и вроде без результатно. st_re, Deac Зафильровать думаю самое простое IPTABLESом на этом же сервере. Это не DoS, пакетов таких не много...Ну может штук 10-20 в минуту. Вот вопрос - скакой целью их могут слать? Может это какая-то типовая атака с целью подменить адреса в кеше DNS-сервера или типа такого? Ilya Evseev Мак отправителя - циска которая является дефолтным шлюзом для этого сервера. Т.е. пакеты летят извне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 1 октября, 2010 · Жалоба Не просто зафильтровать, а избавиться от подобного мусора как класса, а потом уже, добавив нотацию "log", медитировать о назначении пакетов и целях их отправителей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 1 октября, 2010 · Жалоба Всем привет!Обнаружили вот такое: [root@server xdream]# tcpdump dst server_ip and src server_ip tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ether1, link-type EN10MB (Ethernet), capture size 96 bytes 17:06:12.537073 IP server.36717 > server.domain: 17954+ A? img3.2125.com. (31) 17:06:13.330042 IP server.38671 > server.domain: 17954+ A? emotion.self.com.cn. (37) 17:06:25.003532 IP server.35671 > server.domain: 17954+ A? www.7caihua.com.cn. (36) 17:06:25.351711 IP server.40541 > server.domain: 17954+ A? food.21cn.com. (31) 17:06:38.645049 IP server.36041 > server.domain: 17954+ A? img2.trends.com.cn. (36) 17:06:54.625507 IP server.38749 > server.domain: 17954+ A? soap.hunantv.com. (34) 17:07:14.209061 IP server.34937 > server.domain: 17954+ A? hao7.9355.com. (31) 17:07:15.767718 IP server.42510 > server.domain: 17954+ A? www.go9939.net. (32) 17:07:24.986115 IP server.40832 > server.domain: 17954+ A? ss.tiancity.com. (33) 17:07:27.896557 IP server.37746 > server.domain: 17954+ A? ws6.cdntest.cdn20.com. (39) 17:07:31.330315 IP server.40957 > server.domain: 17954+ A? testfile15.top100.cn.lxdns.com. (48) 17:07:31.461470 IP server.35453 > server.domain: 17954+ A? yx.ccjoy.com. (30) 17:07:34.353925 IP server.38285 > server.domain: 17954+ A? testfile16.top100.cn.lxdns.com. (48) 17:07:41.957455 IP server.41852 > server.domain: 17954+ A? pic1.kaixin001.com.cn. (39) 17:07:43.064752 IP server.33019 > server.domain: 17954+ A? mc.lezi.com. (29) 17:07:47.963826 IP server.40601 > server.domain: 17954+ A? strp2.yokacdn.com. (35) 17:07:53.515498 IP server.36584 > server.domain: 17954+ A? static.zoomino.cn. (35) 17:07:56.397206 IP server.40160 > server.domain: 17954+ A? live.t.21cn.com. (33) 17:08:04.671937 IP server.41393 > server.domain: 17954+ A? www.52tiancai.com. (35) 17:08:05.027101 IP server.40346 > server.domain: 17954+ A? www.51amk.com. (31) 17:08:06.906673 IP server.38944 > server.domain: 17954+ A? www.fy88.net. (30) 17:08:08.165904 IP server.38434 > server.domain: 17954+ A? mymm.qidian.com. (33) 17:08:11.289954 IP server.42063 > server.domain: 17954+ A? down1.qidian.com. (34) 17:08:19.652012 IP server.37990 > server.domain: 17954+ A? lehuo.27.cn. (29) 17:08:34.281407 IP server.35215 > server.domain: 17954+ A? stream17.qqmusic.qq.com. (41) 17:08:42.409598 IP server.42172 > server.domain: 17954+ A? partuza.gzonline.net. (38) 17:08:45.944547 IP server.36151 > server.domain: 17954+ A? img2.27.cn. (28) 17:09:16.319537 IP server.38907 > server.domain: 17954+ A? sdo.loong3d.com. (33) 17:09:26.734039 IP server.38621 > server.domain: 17954+ A? www.greedland.net. (35) Т.е. на сервер приходят пакеты с подмененным IP адресом (равнм адресу самого сервера) Подскажить что это такое и опасно ли? покажите /etc/resolv.conf , у вас там случаем не прописан ваш же ip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 1 октября, 2010 · Жалоба Там же написано: "Мак отправителя - циска которая является дефолтным шлюзом для этого сервера. Т.е. пакеты летят извне. " Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 1 октября, 2010 · Жалоба Это попытка(?) отравления днс кеша, не более. Так редко потому что для кеша чаще не нужно, и возможно сами записи обновляются раз в минуту. Ради интереса посмотрите в кеш, отравился?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexmern Опубликовано 1 октября, 2010 (изменено) · Жалоба Да, в последнее время тоже такая фигня стала более интенсивно идти с внешки с подменными ip: Вот что за секунду приходит на сетку /22 23:13:05.025832 IP *.*.173.236.41117 > *.*.174.2.53: 29469+ A? vwcupws.video.qq.com. (38) 23:13:05.036068 IP *.*.174.53.32990 > *.*.174.2.53: 19568+ A? www.chinafeedonline.com. (41) 23:13:05.049480 IP *.*.174.93.34047 > *.*.174.2.53: 29469+ A? img5.cache.netease.com. (40) 23:13:05.063112 IP *.*.174.80.33202 > *.*.174.2.53: 29469+ A? wq.wtgame.net. (31) 23:13:05.066746 IP *.*.172.96.33202 > *.*.172.1.53: 29469+ A? wq.wtgame.net. (31) 23:13:05.115442 IP *.*.172.85.34341 > *.*.172.1.53: 29469+ A? images.youshang.com. (37) 23:13:05.122734 IP *.*.173.247.39261 > *.*.174.2.53: 29469+ A? popme.163.com. (31) 23:13:05.126754 IP *.*.174.85.34341 > *.*.174.2.53: 29469+ A? images.youshang.com. (37) 23:13:05.156717 IP *.*.173.177.36522 > *.*.174.2.53: 29469+ A? www.babeltime.com. (35) 23:13:05.208089 IP *.*.174.18.41796 > *.*.174.2.53: 29469+ A? proimg.163.com. (32) 23:13:05.216506 IP *.*.172.35.41796 > *.*.172.1.53: 29469+ A? proimg.163.com. (32) 23:13:05.219125 IP *.*.172.98.35967 > *.*.172.1.53: 29469+ A? res.youshang.com. (34) 23:13:05.224588 IP *.*.174.85.35967 > *.*.174.2.53: 29469+ A? res.youshang.com. (34) 23:13:05.226188 IP *.*.173.211.40291 > *.*.174.2.53: 29469+ A? static.kaixin001.babeltime.com. (48) 23:13:05.673575 IP *.*.173.220.40589 > *.*.174.2.53: 19568+ A? gdl0102.linekong.com. (38) 23:13:05.741617 IP *.*.173.236.33440 > *.*.174.2.53: 19568+ A? html.5173cdn.com. (34) 23:13:05.804414 IP *.*.172.38.33608 > *.*.172.1.53: 19568+ A? admin.51auto.com. (34) 23:13:05.846405 IP *.*.172.92.39523 > *.*.172.1.53: 29469+ A? img6.cache.netease.com. (40) 23:13:05.851243 IP *.*.174.40.34700 > *.*.174.2.53: 19568+ A? images003.5173cdn.com. (39) 23:13:05.854484 IP *.*.173.251.39523 > *.*.174.2.53: 29469+ A? img6.cache.netease.com. (40) 23:13:05.855591 IP *.*.173.166.40190 > *.*.174.2.53: 29469+ A? downloads.youshang.com. (40) 23:13:05.858903 IP *.*.172.23.41197 > *.*.172.1.53: 19568+ A? news.wokchina.com. (35) 23:13:05.867618 IP *.*.174.97.39285 > *.*.174.2.53: 19568+ A? picture.51auto.com. (36) 23:13:05.871416 IP *.*.174.80.42036 > *.*.174.2.53: 29469+ A? ebuy.skoda.com.cn. (35) 23:13:05.928966 IP *.*.174.60.41876 > *.*.174.2.53: 29469+ A? adimg.163.com. (31) 23:13:05.939680 IP *.*.173.192.34682 > *.*.174.2.53: 29469+ A? image.dhgate.cdn20.com. (40) 23:13:05.948851 IP *.*.174.7.36003 > *.*.174.2.53: 29469+ A? www.go2eu.com. (31) 23:13:05.949234 IP *.*.172.56.36003 > *.*.172.1.53: 29469+ A? www.go2eu.com. (31) 23:13:05.956666 IP *.*.173.218.39381 > *.*.174.2.53: 19568+ A? gdl0201.linekong.com. (38) 23:13:05.996192 IP *.*.172.17.39580 > *.*.172.1.53: 19568+ A? helpcenter.5173cdn.com. (40) Изменено 1 октября, 2010 пользователем alexmern Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 2 октября, 2010 · Жалоба Еще раз, рискну предположить что это флуд на нейм сервера. Все домены не смотрел, но тот десяток, что я проверил в ваших списках указывали на 1 набор нейм серверов где то в районе lxdns.com. Вариант с отравлением кеша для этих доменов... Слишком много доменов, и время жизни там не большое. Мало шансов, что прокатит что то реальное. Это к Вам идет по 10 в минуту... Если такого рода запросы в разные стороны катят тысячами, то этими же тысячами оно валит на нейм сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 2 октября, 2010 · Жалоба У нас аналогично: 22:34:49.050146 IP 193.125.143.158.42559 > 193.125.143.173.53: 29469+ A? aaa.bbtv.cn. (29) 22:34:49.052565 IP 193.125.143.240.40260 > 193.125.143.173.53: 29469+ A? 231wg.com. (27) 22:34:49.065143 IP 193.125.143.232.34767 > 193.125.143.173.53: 29469+ A? assets.fobaby.com. (35) 22:34:49.127022 IP 193.125.143.209.35321 > 193.125.143.173.53: 29469+ A? cnkankan.com. (30) 22:34:49.141143 IP 193.125.143.135.37846 > 193.125.143.173.53: 29469+ A? tvpic.bbtv.cn. (31) 22:34:49.161143 IP 193.125.143.161.40628 > 193.125.143.173.53: 29469+ A? webgame.woolearn.com. (38) 22:34:49.194813 IP 193.125.143.171.37314 > 193.125.143.173.53: 19568+ A? www.875.cn. (28) 22:34:49.305229 IP 193.125.143.136.35277 > 193.125.143.173.53: 19568+ A? ren.bjonline.net. (34) 22:34:49.309398 IP 193.125.143.176.41184 > 193.125.143.173.53: 19568+ A? ucenter.9939.com. (34) 22:34:49.315040 IP 193.125.143.127.36796 > 193.125.143.173.53: 19568+ A? shj2.yokacdn.com. (34) 22:34:49.322056 IP 193.125.143.151.41800 > 193.125.143.173.53: 19568+ A? focus.shonline.net. (36) 22:34:49.339785 IP 193.125.143.240.39990 > 193.125.143.173.53: 19568+ A? shj1.yokacdn.com. (34) 22:34:49.371133 IP 193.125.143.123.36279 > 193.125.143.173.53: 19568+ A? www.shengyijie.com.cn. (39) 22:34:49.393281 IP 193.125.143.224.33491 > 193.125.143.173.53: 19568+ A? ent.shonline.net. (34) 22:34:49.420509 IP 193.125.143.149.39289 > 193.125.143.173.53: 19568+ A? shs1.yokacdn.com. (34) 22:34:49.481800 IP 193.125.143.126.42055 > 193.125.143.173.53: 19568+ A? www.shonline.net. (34) 22:34:49.487203 IP 193.125.143.213.35548 > 193.125.143.173.53: 19568+ A? shop.9939.com. (31) 22:34:49.581143 IP 193.125.143.249.36160 > 193.125.143.173.53: 19568+ A? lady.shonline.net. (35) 22:34:49.636604 IP 193.125.143.133.39362 > 193.125.143.173.53: 19568+ A? shs2.yokacdn.com. (34) 22:34:49.652465 IP 193.125.143.255.33870 > 193.125.143.173.53: 19568+ A? www.120top.com. (32) 22:34:49.681143 IP 193.125.143.227.35567 > 193.125.143.173.53: 19568+ A? www.hao120.cc. (31) 22:34:49.718458 IP 193.125.143.218.39663 > 193.125.143.173.53: 19568+ A? ucctv.baofeng.com. (35) 22:34:49.761733 IP 193.125.143.197.38107 > 193.125.143.173.53: 19568+ A? auto.shonline.net. (35) 22:34:49.767906 IP 193.125.143.185.33060 > 193.125.143.173.53: 29469+ A? www.cnkankan.com. (34) 22:34:49.781308 IP 193.125.143.80.37002 > 193.125.143.173.53: 29469+ A? media.kxting.cn. (33) 22:34:49.782592 IP 193.125.143.168.37800 > 193.125.143.173.53: 29469+ A? tvepg.bbtv.cn. (31) 22:34:49.833143 IP 193.125.143.242.39216 > 193.125.143.173.53: 29469+ A? download1.38522.com.cdn20.com. (47) 22:34:49.867147 IP 193.125.143.185.35544 > 193.125.143.173.53: 29469+ A? oa.canmay.net. (31) 22:34:49.873852 IP 193.125.143.81.41122 > 193.125.143.173.53: 29469+ A? imga.4399.com. (31) 22:34:49.922820 IP 193.125.143.242.41190 > 193.125.143.173.53: 29469+ A? download2.38522.com.cdn20.com. (47) 22:34:49.978054 IP 193.125.144.10.38193 > 193.125.143.173.53: 29469+ A? www.4399.com. (30) 22:34:49.980704 IP 193.125.143.82.40564 > 193.125.143.173.53: 29469+ A? download.rappelz.com.my.lxdns.com. (51) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 3 октября, 2010 · Жалоба На самом деле, конкретно запросы когда src ip==ip_dns-сервера ничем не страшны, если включен rp_filter на этом интерфейсе(или на всех(all)), т.к. существует запись вида ip_dns/32 в таблице local (смотреть ip ro li ta local), т.е. tcpdump пакеты ловит, но до приложения они не доходят. Но мало того, чтобы пакет с src ip, который уже есть на одном из интерфейсов сервера дошёл до приложения нужно, чтобы ядро было как минимум 2.6.33 и чтоб был включён accept_local на интерфейса, а точнее, чтобы в ядре была вот эта хрень Но кроме запросов, где src ip==ip_dns-сервера приходит ещё куча запросов от "соседних" IP-адресов, хотят этих хостов реально нет, так что одной записью в iptables проблему не решить, её надо решать путём фильтрацией своих src_ip на пограничных маршрутизаторах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xDream Опубликовано 4 октября, 2010 · Жалоба Ради интереса посмотрите в кеш, отравился?) Так это...в моем это же даже не answer...это query. Тем более действительно чтобы отравить кеш их как раз надо слать много. чтобы ядро было как минимум 2.6.33 и чтоб был включён accept_local на интерфейса, а точнее, чтобы в ядре была вот эта хрень Похоже что они действительно не долетают до приложения т.к. ответов на них ни на lo ни на физическом эзеренете не видно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 4 октября, 2010 · Жалоба чтобы ядро было как минимум 2.6.33 и чтоб был включён accept_local на интерфейса, а точнее, чтобы в ядре была вот эта хрень Похоже что они действительно не долетают до приложения т.к. ответов на них ни на lo ни на физическом эзеренете не видно. Есть способ лучше - rndc querylog и смотреть в логе - долетают или не долетают (если у Вас bind) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 5 октября, 2010 · Жалоба Так это...в моем это же даже не answer...это query. Ну тогда может хотят чтобы ваш днс сервак досил ответами якобы вопросившего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 5 октября, 2010 · Жалоба Так это...в моем это же даже не answer...это query.Ну тогда может хотят чтобы ваш днс сервак досил ответами якобы вопросившего. ИМХО нет, ну какой в этом смысл? Если преследовать цель извлечения денег(что наиболее вероятно), то это ddos каких-то dns серверов(как предположил st_re). Принципы и логика примерно таковы: 1. В качестве source ip используются адреса, близкие к адресу самого сервера(см. пост от Дегтярева Ильи), т.к. с вероятностью близкой к 1 с них разрешена рекурсия(т.е. прикидываются хостами из "своей" AS, грубо говоря абонентами) 2. Если напрямую делать запросы к цели, подделывая IP, то можно спалиться и лавочку(отсутсвие проверки src ip) прикроют, а так атаку осуществляет ваш сервер. 3. Чтобы на каждый запрос генерился запрос к атакуемому NS-серверу можно запрашивать *.domain.tld (при этом domain.tld делегирован на атакуемой сервер, а * каждый раз разная) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 5 октября, 2010 · Жалоба Судя по всему флудят ns*.glb0.lxdns.com Вообще то кошерно на пограничном маршрутизаторе запрещать входящие из вне пакеты со своими src IP... (как, в прочем, и исходящие с не своими src) тогда отвалится вопрос, откуда берутся пакеты, снаружи или внутри. А что - транзита у Вас не бывает?Антиспуф вообще должен быть полиси по умолнанию, на входе. А на выходе - тут уже зависит от количества транзитных сетей. если их много, то фильтровать может быть очень накладно. Но на входе - всяко надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 октября, 2010 · Жалоба Судя по всему флудят ns*.glb0.lxdns.com Вообще то кошерно на пограничном маршрутизаторе запрещать входящие из вне пакеты со своими src IP... (как, в прочем, и исходящие с не своими src) тогда отвалится вопрос, откуда берутся пакеты, снаружи или внутри. А что - транзита у Вас не бывает? свои то адреса снаружи точно не могут прийти. Их точно резать на границе AS. А Вас NSы в ядре сети ? или напрямую обрабатывает транзитный трафик? Этакий NS-BGP-Router-10GBit ;) Вынесите сервера из бекбона в отдельную сеть и НА ЕЕ границе режьте спуфинг для этих, своих, сетей. Пограничный, он может быть на границе внутренней сети, а не AS... Да, останется вероятность, что снаружи приедет запрос к Вашему ресолверу якобы от Вашего транзитного клиента (если Вы им вдруг даете такую возможность, хотя, казалось бы, зачем).... а это автоматическим скриптом заюзать уже посложнее, чем просто найти отвечающий 53 порт. и начать лить туда запросы из той же /24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Slad Опубликовано 13 октября, 2010 · Жалоба Таки есть способ найти откуда идет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 13 октября, 2010 · Жалоба Элементарно, Ватсон. добавляете ключик -e к tcpdump смотрите откуда оно пришло (по маку), идете туда, и смотрите откуда оно появилось там. И так далее по цепочке до программы, которая это генерит. Маленькое но. Цепочка может кончиться гденить в Зимбабве.. И по дороге помогать искать могут отказаться. Закрыть на бордере входящие со своим src не помогает ? Тагда оно внутри. ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Slad Опубликовано 13 октября, 2010 · Жалоба Оно из вне приходит, то что закрыто и так ясно, просто сам процесс интересен и смысл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...