Перейти к содержимому
Калькуляторы

dns flod

Всем привет. Подскажите, кто то нас сегодня флудит на 53 порт

 

в /proc/net/ip_conntrack куча

udp      17 176 src=168.63.125.125 dst=188.x.x.38 sport=58175 dport=53 packets=11 bytes=792 src=188.x.x.38 dst=168.63.125.125 sport=53 dport=58175 packets=11 bytes=792 [ASSURED] mark=0 secmark=0 use=2
udp      17 135 src=168.63.125.125 dst=188.x.x.38 sport=19842 dport=53 packets=13 bytes=936 src=188.x.x.38 dst=168.63.125.125 sport=53 dport=19842 packets=12 bytes=864 [ASSURED] mark=0 secmark=0 use=2
udp      17 172 src=168.63.125.125 dst=188.x.x.38 sport=53128 dport=53 packets=13 bytes=936 src=188.x.x.38 dst=168.63.125.125 sport=53 dport=53128 packets=13 bytes=936 [ASSURED] mark=0 secmark=0 use=2
udp      17 168 src=198.27.112.169 dst=188.x.x.38 sport=37835 dport=53 packets=18 bytes=1296 src=188.x.x.38 dst=198.27.112.169 sport=53 dport=37835 packets=17 bytes=1224 [ASSURED] mark=0 secmark=0 use=2
udp      17 130 src=185.28.20.225 dst=188.x.x.38 sport=9158 dport=53 packets=12 bytes=864 src=188.x.x.38 dst=185.28.20.225 sport=53 dport=9158 packets=11 bytes=792 [ASSURED] mark=0 secmark=0 use=2
udp      17 168 src=213.127.143.42 dst=188.x.x.38 sport=56465 dport=53 packets=18 bytes=1296 src=188.x.x.38 dst=213.127.143.42 sport=53 dport=56465 packets=18 bytes=9358 [ASSURED] mark=0 secmark=0 use=2
udp      17 109 src=185.28.20.225 dst=188.x.x.38 sport=40951 dport=53 packets=18 bytes=1296 src=188.x.x.38 dst=185.28.20.225 sport=53 dport=40951 packets=18 bytes=17420 [ASSURED] mark=0 secmark=0 use=2
udp      17 174 src=108.71.203.245 dst=188.x.x.38 sport=26580 dport=53 packets=27 bytes=1944 src=188.x.x.38 dst=108.71.203.245 sport=53 dport=26580 packets=27 bytes=26130 [ASSURED] mark=0 secmark=0 use=2
udp      17 159 src=185.28.20.225 dst=188.x.x.38 sport=20198 dport=53 packets=23 bytes=1656 src=188.x.x.38 dst=185.28.20.225 sport=53 dport=20198 packets=23 bytes=33787 [ASSURED] mark=0 secmark=0 use=2
udp      17 119 src=185.28.20.225 dst=188.x.x.38 sport=6182 dport=53 packets=23 bytes=1656 src=188.x.x.38 dst=185.28.20.225 sport=53 dport=6182 packets=23 bytes=37584 [ASSURED] mark=0 secmark=0 use=2
udp      17 92 src=112.198.82.152 dst=188.x.x.38 sport=25393 dport=53 packets=34 bytes=2448 src=188.x.x.38 dst=112.198.82.152 sport=53 dport=25393 packets=33 bytes=58108 [ASSURED] mark=0 secmark=0 use=2
udp      17 56 src=112.198.82.152 dst=188.x.x.38 sport=2002 dport=53 packets=23 bytes=1656 src=188.x.x.38 dst=112.198.82.152 sport=53 dport=2002 packets=22 bytes=57455 [ASSURED] mark=0 secmark=0 use=2

 

в настройках bind было всем разрешено, сейчас разрешил только нужным (не помогло). Как убить все эти левые коннекты и достаточно будет что в настройках бинд описаны доступ только определенных сетей? :)

 

Конфг бинд

named.txt

 

поправил немного конфиг бинда, запросы с мира теперь в denied

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

правленый конфиг

 

Но conntrack не уменьшается....

cat /proc/sys/net/netfilter/nf_conntrack_count

1008578

 

обычно норма udp была в районе 60к-70к, а сейчас аж 640к

 

Из лога секьюрити бинда:

25-Mar-2014 16:37:21.750 security: info: client 217.114.91.120#65300: query (cache) 'zing.zong.co.ua/ANY/IN' denied

25-Mar-2014 16:37:21.750 security: info: client 82.194.204.194#40043: query (cache) 'zing.zong.co.ua/ANY/IN' denied

25-Mar-2014 16:37:21.750 security: info: client 108.247.152.201#52816: query (cache) 'zing.zong.co.ua/ANY/IN' denied

25-Mar-2014 16:37:21.750 security: info: client 217.114.91.120#16902: query (cache) 'zing.zong.co.ua/ANY/IN' denied

25-Mar-2014 16:37:21.750 security: info: client 50.31.103.50#54530: query (cache) 'zing.zong.co.ua/ANY/IN' denied

25-Mar-2014 16:37:21.750 security: info: client 115.78.129.148#63376: query (cache) 'zing.zong.co.ua/ANY/IN' denied

named.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все нормально. Заблокирован запрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а что то можно сделать с этими assured коннектами? А то уж больно их много да и скрипт(conntrack.pl) для какти виснет на подсчетах :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а что то можно сделать с этими assured коннектами? А то уж больно их много да и скрипт(conntrack.pl) для какти виснет на подсчетах :)

 

Ну, поставьте лимит 3 соединений с внешних ip на ваш порт 53

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.