Cramac Опубликовано 25 марта, 2014 · Жалоба Всем привет. Подскажите, кто то нас сегодня флудит на 53 порт в /proc/net/ip_conntrack куча udp 17 176 src=168.63.125.125 dst=188.x.x.38 sport=58175 dport=53 packets=11 bytes=792 src=188.x.x.38 dst=168.63.125.125 sport=53 dport=58175 packets=11 bytes=792 [ASSURED] mark=0 secmark=0 use=2 udp 17 135 src=168.63.125.125 dst=188.x.x.38 sport=19842 dport=53 packets=13 bytes=936 src=188.x.x.38 dst=168.63.125.125 sport=53 dport=19842 packets=12 bytes=864 [ASSURED] mark=0 secmark=0 use=2 udp 17 172 src=168.63.125.125 dst=188.x.x.38 sport=53128 dport=53 packets=13 bytes=936 src=188.x.x.38 dst=168.63.125.125 sport=53 dport=53128 packets=13 bytes=936 [ASSURED] mark=0 secmark=0 use=2 udp 17 168 src=198.27.112.169 dst=188.x.x.38 sport=37835 dport=53 packets=18 bytes=1296 src=188.x.x.38 dst=198.27.112.169 sport=53 dport=37835 packets=17 bytes=1224 [ASSURED] mark=0 secmark=0 use=2 udp 17 130 src=185.28.20.225 dst=188.x.x.38 sport=9158 dport=53 packets=12 bytes=864 src=188.x.x.38 dst=185.28.20.225 sport=53 dport=9158 packets=11 bytes=792 [ASSURED] mark=0 secmark=0 use=2 udp 17 168 src=213.127.143.42 dst=188.x.x.38 sport=56465 dport=53 packets=18 bytes=1296 src=188.x.x.38 dst=213.127.143.42 sport=53 dport=56465 packets=18 bytes=9358 [ASSURED] mark=0 secmark=0 use=2 udp 17 109 src=185.28.20.225 dst=188.x.x.38 sport=40951 dport=53 packets=18 bytes=1296 src=188.x.x.38 dst=185.28.20.225 sport=53 dport=40951 packets=18 bytes=17420 [ASSURED] mark=0 secmark=0 use=2 udp 17 174 src=108.71.203.245 dst=188.x.x.38 sport=26580 dport=53 packets=27 bytes=1944 src=188.x.x.38 dst=108.71.203.245 sport=53 dport=26580 packets=27 bytes=26130 [ASSURED] mark=0 secmark=0 use=2 udp 17 159 src=185.28.20.225 dst=188.x.x.38 sport=20198 dport=53 packets=23 bytes=1656 src=188.x.x.38 dst=185.28.20.225 sport=53 dport=20198 packets=23 bytes=33787 [ASSURED] mark=0 secmark=0 use=2 udp 17 119 src=185.28.20.225 dst=188.x.x.38 sport=6182 dport=53 packets=23 bytes=1656 src=188.x.x.38 dst=185.28.20.225 sport=53 dport=6182 packets=23 bytes=37584 [ASSURED] mark=0 secmark=0 use=2 udp 17 92 src=112.198.82.152 dst=188.x.x.38 sport=25393 dport=53 packets=34 bytes=2448 src=188.x.x.38 dst=112.198.82.152 sport=53 dport=25393 packets=33 bytes=58108 [ASSURED] mark=0 secmark=0 use=2 udp 17 56 src=112.198.82.152 dst=188.x.x.38 sport=2002 dport=53 packets=23 bytes=1656 src=188.x.x.38 dst=112.198.82.152 sport=53 dport=2002 packets=22 bytes=57455 [ASSURED] mark=0 secmark=0 use=2 в настройках bind было всем разрешено, сейчас разрешил только нужным (не помогло). Как убить все эти левые коннекты и достаточно будет что в настройках бинд описаны доступ только определенных сетей? :) Конфг бинд named.txt поправил немного конфиг бинда, запросы с мира теперь в denied Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 25 марта, 2014 · Жалоба Добавьте allow-recursion { corpnets; }; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 25 марта, 2014 · Жалоба правленый конфиг Но conntrack не уменьшается.... cat /proc/sys/net/netfilter/nf_conntrack_count 1008578 обычно норма udp была в районе 60к-70к, а сейчас аж 640к Из лога секьюрити бинда: 25-Mar-2014 16:37:21.750 security: info: client 217.114.91.120#65300: query (cache) 'zing.zong.co.ua/ANY/IN' denied 25-Mar-2014 16:37:21.750 security: info: client 82.194.204.194#40043: query (cache) 'zing.zong.co.ua/ANY/IN' denied 25-Mar-2014 16:37:21.750 security: info: client 108.247.152.201#52816: query (cache) 'zing.zong.co.ua/ANY/IN' denied 25-Mar-2014 16:37:21.750 security: info: client 217.114.91.120#16902: query (cache) 'zing.zong.co.ua/ANY/IN' denied 25-Mar-2014 16:37:21.750 security: info: client 50.31.103.50#54530: query (cache) 'zing.zong.co.ua/ANY/IN' denied 25-Mar-2014 16:37:21.750 security: info: client 115.78.129.148#63376: query (cache) 'zing.zong.co.ua/ANY/IN' denied named.txt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 25 марта, 2014 · Жалоба Все нормально. Заблокирован запрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 25 марта, 2014 · Жалоба а что то можно сделать с этими assured коннектами? А то уж больно их много да и скрипт(conntrack.pl) для какти виснет на подсчетах :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 25 марта, 2014 · Жалоба а что то можно сделать с этими assured коннектами? А то уж больно их много да и скрипт(conntrack.pl) для какти виснет на подсчетах :) Ну, поставьте лимит 3 соединений с внешних ip на ваш порт 53 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...