Jump to content
Калькуляторы

Студенты досят DNS

Reply to this topic

rus-p   

rus-p
Posted

Раздела безопасность нету, тиснул сюда.

 

У кого нибудь досят DNS, ориентировочно с прошлой недели ?

Это не бот, используют открытые резолверы на CPE, коих оказалось неприлично много.

Запросы идут типа ANY, в ответ портянка на 4 килобайта.

По проверенным слухам один крупный оператор в субботу уже гугловские выдавал, видать не справились.

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

Раздела безопасность нету, тиснул сюда.

 

У кого нибудь досят DNS, ориентировочно с прошлой недели ?

Это не бот, используют открытые резолверы на CPE, коих оказалось неприлично много.

Запросы идут типа ANY, в ответ портянка на 4 килобайта.

По проверенным слухам один крупный оператор в субботу уже гугловские выдавал, видать не справились.

 

Есть такое дело:

 

31-May-2013 07:22:33.934 notice: clients-per-query increased to 100
31-May-2013 07:42:45.135 notice: clients-per-query increased to 100
31-May-2013 08:04:01.964 notice: clients-per-query increased to 100
31-May-2013 08:24:36.671 notice: clients-per-query increased to 100
31-May-2013 08:45:03.001 notice: clients-per-query increased to 100
31-May-2013 09:05:19.607 notice: clients-per-query increased to 100
31-May-2013 09:25:55.866 notice: clients-per-query increased to 100

 

Пик пришелся где-то на 29-31-ое.

 

Только это кого-то внешнего через боты ддосят. Не ваш сервер. Сервер выступает как промежуточное звено для организации атаки.

 

С 1-го числа на убыль пошло. Сегодня уже практически в норме.

Share this post

Link to post
Share on other sites

rus-p   

rus-p
Posted

Да, ошибся, чужие DNS использовали только как усилитель трафика.

Тут с соседних тем жалобы идут на трафик прибывающий.

Пока сердца разные, т.е особо долго никого не парят, видать тестируются )

Share this post

Link to post
Share on other sites

NikBSDOpen   

NikBSDOpen
Posted

Досят, досили. Счетчик на "Teardrop attack" DNS серверов исчеслялся сотнями тысяч. Началось к концу дня 27. Не сильно напрягало, но потом стало бесить. Сейчас в "пределах нормы".

Share this post

Link to post
Share on other sites

MATPOC   

MATPOC
Posted

Раздела безопасность нету, тиснул сюда.

 

У кого нибудь досят DNS, ориентировочно с прошлой недели ?

Это не бот, используют открытые резолверы на CPE, коих оказалось неприлично много.

Запросы идут типа ANY, в ответ портянка на 4 килобайта.

По проверенным слухам один крупный оператор в субботу уже гугловские выдавал, видать не справились.

 

Только это кого-то внешнего через боты ддосят. Не ваш сервер. Сервер выступает как промежуточное звено для организации атаки.

 

У вас разрешены точка и рекурсия для всего мира? Или только для своих клиентов, и этот DDoS лезет с ваших клиентов?

Share this post

Link to post
Share on other sites

rus-p   

rus-p
Posted (edited)

Видимо, придется закрывать 53 порт к абоненту, по крайней мере для не юриков.

Из вендоров CPE резолвер на WAN порту открыт для всех почти у всех.

 

То Матрос

Мы не сумашедшие )

Это у клиентов на CPE разрешена * и рекурсия для всего мира на WAN порту.

Досят конечно наши DNS, т.к. клиентский CPE словил наш DNS при настройке.

Но, как тут уже сказали, DNS это следствие, они как усилитель выступают, т.к. входящий пакет 100 байт, исходящий 4к. Пока видимо идет отладка у них, т.к. поддельные сердца все время меняются.

Edited by rus-p

Share this post

Link to post
Share on other sites

rus-p   

rus-p
Posted

Там бардак полный.

Видел у некоторых моделей, что на веб странице написано, фаервол включен, но по факту разрешено.

В топе как раз лидеры продаж.

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

У вас разрешены точка и рекурсия для всего мира? Или только для своих клиентов, и этот DDoS лезет с ваших клиентов?

 

Нет, конечно. view в bind я давно освоил. ;-)

 

Тут либо боты, либо открытые ресолверы. Например, на Zyxel P660 с IPoE таковой открыт по умолчанию, если фильтром входящие запросы не прикрыть.

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

Кстати, мелкий прикол: второму в списке DNS-серверу достается больше.

 

Вот такие вот они боты. С(т?)ран(н?)ые.

Share this post

Link to post
Share on other sites

rus-p   

rus-p
Posted

Telesis вы случаем не из крупняка будете ?

А то чего-то мысль стала закрадываться, что кто-то решил на поляне потоптаться.

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

Ну вот и до меня по-серьезному добралось.

 

Сегодня ночью нагнули один DNS-сервер полностью (через крупныого клиента атака была), второй - частично (канал у клиента мелковат).

Причем на первом пул входящий в пакетном фильтре был засран полностью. Даже индеец рестартовать не смог.

 

Началось в 00:50 мск.

 

Море TCP/UDP запросов. Много медленных...

 

05-Jun-2013 08:17:16.899 warning: client XXX.XXX.XXX.XXX#9221: no more TCP clients: quota reached

05-Jun-2013 08:17:17.590 warning: client XXX.XXX.XXX.XXX#9224: no more TCP clients: quota reached

05-Jun-2013 08:17:17.625 warning: client XXX.XXX.XXX.XXX#9225: no more TCP clients: quota reached

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

Сегодня ночью нагнули один DNS-сервер полностью (через крупныого клиента атака была), второй - частично (канал у клиента мелковат).

Причем на первом пул входящий в пакетном фильтре был засран полностью. Даже индеец рестартовать не смог.

 

Результат - у обоих клиентов рукожопые админы виндовых DNS-серверов разрешили рекурсию из внешнего мира. Как следствие - пошла она на меня.

Размер ответа нашел глазками в 73К (!!!).

Share this post

Link to post
Share on other sites

rus-p   

rus-p
Posted (edited)

snvoronkov, у вас tcp открыт для клиентского сервера на windows, которому делегирована зона для трансфера ?

Если так, то не очень понятно, зачем клиентскому серверу разрешать рекурсию на вашем сервере. Нехай он сервер, пусть сам и делает.

 

А что на ней уже нет места?

 

Дык вон Тимур доклад представил, что нету.

Edited by rus-p

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted (edited)

snvoronkov, у вас tcp открыт для клиентского сервера на windows, которому делегирована зона ?

Если так, то не очень понятно, зачем клиентскому серверу разрешать рекурсию на вашем сервере. Нехай он сервер, пусть сам и делает.

 

TCP открыт т.к. некоторым клиентам вообще роутеронастройщики из головного офиса udp на ноль помножили. ;-) Вот такие вот они загадочные.

 

У мена вообще для AS-ки открыт доступ по tcp/udp на свои сервера. С рекурсией, т.к. я зачастую не знаю, где там у кого сервер зарыт а где просто клиентский комп.

В частности, у "маленького" сегодняшнего клиента просто винсервер стоит в качестве роутера, как оказалось после пытки плоскогубцами. Запрятанный за маком ADSL-бриджа.

 

Windows DNS Server вообще не позволяет закрыть рекурсию для внешки. Или всем можно, или всем нельзя.

Теперь для особо рукожопых сделал доступ только на гугло-днс. Пусть его терроризируют. Как много таких станет - сделаю им отдельную вьюшку без рекурсии и только со своими зонами.

Edited by snvoronkov

Share this post

Link to post
Share on other sites

NikBSDOpen   

NikBSDOpen
Posted

С рекурсией, т.к. я зачастую не знаю, где там у кого сервер зарыт а где просто клиентский комп.

 

У меня, специально для пользователей, огранизован DNS proxy до гугло яндекс DNS, пусть они обслуживают тех, которым нужна рекурсия.

Но все-равно выбешивает то, что хотят нагнуть DNS. IPS/IDP справляется(пока), но всему же есть предел.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing У нага