Jump to content

Студенты досят DNS

rus-p

By rus-p
in У нага

 Share

Recommended Posts

rus-p

rus-p

Posted
Posted

Раздела безопасность нету, тиснул сюда.

 

У кого нибудь досят DNS, ориентировочно с прошлой недели ?

Это не бот, используют открытые резолверы на CPE, коих оказалось неприлично много.

Запросы идут типа ANY, в ответ портянка на 4 килобайта.

По проверенным слухам один крупный оператор в субботу уже гугловские выдавал, видать не справились.

snvoronkov

snvoronkov

Posted
Posted

Раздела безопасность нету, тиснул сюда.

 

У кого нибудь досят DNS, ориентировочно с прошлой недели ?

Это не бот, используют открытые резолверы на CPE, коих оказалось неприлично много.

Запросы идут типа ANY, в ответ портянка на 4 килобайта.

По проверенным слухам один крупный оператор в субботу уже гугловские выдавал, видать не справились.

 

Есть такое дело:

 

31-May-2013 07:22:33.934 notice: clients-per-query increased to 100
31-May-2013 07:42:45.135 notice: clients-per-query increased to 100
31-May-2013 08:04:01.964 notice: clients-per-query increased to 100
31-May-2013 08:24:36.671 notice: clients-per-query increased to 100
31-May-2013 08:45:03.001 notice: clients-per-query increased to 100
31-May-2013 09:05:19.607 notice: clients-per-query increased to 100
31-May-2013 09:25:55.866 notice: clients-per-query increased to 100

 

Пик пришелся где-то на 29-31-ое.

 

Только это кого-то внешнего через боты ддосят. Не ваш сервер. Сервер выступает как промежуточное звено для организации атаки.

 

С 1-го числа на убыль пошло. Сегодня уже практически в норме.

rus-p

rus-p

Posted
  • Author
Posted

Да, ошибся, чужие DNS использовали только как усилитель трафика.

Тут с соседних тем жалобы идут на трафик прибывающий.

Пока сердца разные, т.е особо долго никого не парят, видать тестируются )

NikBSDOpen

NikBSDOpen

Posted
Posted

Досят, досили. Счетчик на "Teardrop attack" DNS серверов исчеслялся сотнями тысяч. Началось к концу дня 27. Не сильно напрягало, но потом стало бесить. Сейчас в "пределах нормы".

MATPOC

MATPOC

Posted
Posted

Раздела безопасность нету, тиснул сюда.

 

У кого нибудь досят DNS, ориентировочно с прошлой недели ?

Это не бот, используют открытые резолверы на CPE, коих оказалось неприлично много.

Запросы идут типа ANY, в ответ портянка на 4 килобайта.

По проверенным слухам один крупный оператор в субботу уже гугловские выдавал, видать не справились.

 

Только это кого-то внешнего через боты ддосят. Не ваш сервер. Сервер выступает как промежуточное звено для организации атаки.

 

У вас разрешены точка и рекурсия для всего мира? Или только для своих клиентов, и этот DDoS лезет с ваших клиентов?

rus-p

rus-p

Posted
  • Author
Posted (edited)

Видимо, придется закрывать 53 порт к абоненту, по крайней мере для не юриков.

Из вендоров CPE резолвер на WAN порту открыт для всех почти у всех.

 

То Матрос

Мы не сумашедшие )

Это у клиентов на CPE разрешена * и рекурсия для всего мира на WAN порту.

Досят конечно наши DNS, т.к. клиентский CPE словил наш DNS при настройке.

Но, как тут уже сказали, DNS это следствие, они как усилитель выступают, т.к. входящий пакет 100 байт, исходящий 4к. Пока видимо идет отладка у них, т.к. поддельные сердца все время меняются.

Edited by rus-p
rus-p

rus-p

Posted
  • Author
Posted

Там бардак полный.

Видел у некоторых моделей, что на веб странице написано, фаервол включен, но по факту разрешено.

В топе как раз лидеры продаж.

snvoronkov

snvoronkov

Posted
Posted

У вас разрешены точка и рекурсия для всего мира? Или только для своих клиентов, и этот DDoS лезет с ваших клиентов?

 

Нет, конечно. view в bind я давно освоил. ;-)

 

Тут либо боты, либо открытые ресолверы. Например, на Zyxel P660 с IPoE таковой открыт по умолчанию, если фильтром входящие запросы не прикрыть.

rus-p

rus-p

Posted
  • Author
Posted

Telesis вы случаем не из крупняка будете ?

А то чего-то мысль стала закрадываться, что кто-то решил на поляне потоптаться.

snvoronkov

snvoronkov

Posted
Posted

Ну вот и до меня по-серьезному добралось.

 

Сегодня ночью нагнули один DNS-сервер полностью (через крупныого клиента атака была), второй - частично (канал у клиента мелковат).

Причем на первом пул входящий в пакетном фильтре был засран полностью. Даже индеец рестартовать не смог.

 

Началось в 00:50 мск.

 

Море TCP/UDP запросов. Много медленных...

 

05-Jun-2013 08:17:16.899 warning: client XXX.XXX.XXX.XXX#9221: no more TCP clients: quota reached

05-Jun-2013 08:17:17.590 warning: client XXX.XXX.XXX.XXX#9224: no more TCP clients: quota reached

05-Jun-2013 08:17:17.625 warning: client XXX.XXX.XXX.XXX#9225: no more TCP clients: quota reached

snvoronkov

snvoronkov

Posted
Posted

Сегодня ночью нагнули один DNS-сервер полностью (через крупныого клиента атака была), второй - частично (канал у клиента мелковат).

Причем на первом пул входящий в пакетном фильтре был засран полностью. Даже индеец рестартовать не смог.

 

Результат - у обоих клиентов рукожопые админы виндовых DNS-серверов разрешили рекурсию из внешнего мира. Как следствие - пошла она на меня.

Размер ответа нашел глазками в 73К (!!!).

rus-p

rus-p

Posted
  • Author
Posted (edited)

snvoronkov, у вас tcp открыт для клиентского сервера на windows, которому делегирована зона для трансфера ?

Если так, то не очень понятно, зачем клиентскому серверу разрешать рекурсию на вашем сервере. Нехай он сервер, пусть сам и делает.

 

А что на ней уже нет места?

 

Дык вон Тимур доклад представил, что нету.

Edited by rus-p
snvoronkov

snvoronkov

Posted
Posted (edited)

snvoronkov, у вас tcp открыт для клиентского сервера на windows, которому делегирована зона ?

Если так, то не очень понятно, зачем клиентскому серверу разрешать рекурсию на вашем сервере. Нехай он сервер, пусть сам и делает.

 

TCP открыт т.к. некоторым клиентам вообще роутеронастройщики из головного офиса udp на ноль помножили. ;-) Вот такие вот они загадочные.

 

У мена вообще для AS-ки открыт доступ по tcp/udp на свои сервера. С рекурсией, т.к. я зачастую не знаю, где там у кого сервер зарыт а где просто клиентский комп.

В частности, у "маленького" сегодняшнего клиента просто винсервер стоит в качестве роутера, как оказалось после пытки плоскогубцами. Запрятанный за маком ADSL-бриджа.

 

Windows DNS Server вообще не позволяет закрыть рекурсию для внешки. Или всем можно, или всем нельзя.

Теперь для особо рукожопых сделал доступ только на гугло-днс. Пусть его терроризируют. Как много таких станет - сделаю им отдельную вьюшку без рекурсии и только со своими зонами.

Edited by snvoronkov
NikBSDOpen

NikBSDOpen

Posted
Posted

С рекурсией, т.к. я зачастую не знаю, где там у кого сервер зарыт а где просто клиентский комп.

 

У меня, специально для пользователей, огранизован DNS proxy до гугло яндекс DNS, пусть они обслуживают тех, которым нужна рекурсия.

Но все-равно выбешивает то, что хотят нагнуть DNS. IPS/IDP справляется(пока), но всему же есть предел.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.