swat11 Posted November 21, 2014 · Report post Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл. Что это может быть? Пытаются взломать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 21, 2014 · Report post Закрой днс снаружи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted November 21, 2014 · Report post Закрой днс снаружи. +1 Следующий этап включить логгирование А если все равно не понятно, что происходит, то используйте анализаторы траффика - tcpdump, pcap, netflow Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dIMbI4 Posted November 22, 2014 · Report post Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл. Что это может быть? Пытаются взломать? Норм, просто ты участвовал в ДНС ДДОСе на чей то сервер в Белизе на каймановых островах. Дырка микротика тому виной. Настраивайте фаервол и гуглите Mikrotik DNS DDOS. ЗЫ - у себя в сети вчера нашел тоже десятка два микротиков которые атаковали этот же ип. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted November 22, 2014 · Report post Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл. Что это может быть? Пытаются взломать? Норм, просто ты участвовал в ДНС ДДОСе на чей то сервер в Белизе на каймановых островах. Дырка микротика тому виной. Настраивайте фаервол и гуглите Mikrotik DNS DDOS. ЗЫ - у себя в сети вчера нашел тоже десятка два микротиков которые атаковали этот же ип. При чём тут дырка микротика? Я не ярый фанат или защитник микротика, но тут вы явно неправы. Если автор не потрудился закрыть снаружи ДНС, то дело не в микротике, а в авторе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 22, 2014 · Report post Хорошим тоном является запрещать то, что не разрешено явно. Хотя бы для входящих подключений. Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват. Правда автор пишет про Ubuntu, а на скриншоте явно Mikrotik. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 22, 2014 · Report post Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват. По умолчанию, днс снаружи закрыт. Так шта мимо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swat11 Posted November 22, 2014 · Report post Хорошим тоном является запрещать то, что не разрешено явно. Хотя бы для входящих подключений. Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват. Правда автор пишет про Ubuntu, а на скриншоте явно Mikrotik. Всё верно, микротик выступает в роли маршрутизатора, на сервере поднят DNS и платёжные модули QIWI и Comepay. Тогда вопрос, как закрыть так, чтобы не нарушить взаимодействие с серверами QIWI и Comepay? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 22, 2014 · Report post Если на МТ DNS-релей не включен, тогда нужно разбираться с сервером. Для чего на нем DNS? Разрешена рекурсия? Он обслуживает запросы снаружи? По умолчанию, днс снаружи закрыт. Он не закрыт снаружи. Он включен или выключен. Если включен, то для всех и закрывать его снаружи нужно дополнительно. http://demo.mt.lv/webfig/#IP:DNS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swat11 Posted November 22, 2014 · Report post Если на МТ DNS-релей не включен, тогда нужно разбираться с сервером. Для чего на нем DNS? Разрешена рекурсия? Он обслуживает запросы снаружи? DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени, пробовал закрывать снаружи и всё сразу отваливалось Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 22, 2014 · Report post DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени Сервера QIWI и Comepay используют ваш DNS-сервер для ресолвинга? Очень странно. Уверен, что у них свои собственные DNS-сервера. DNS ставится на сервер в основном в двух случаях: 1. Обслуживает выделенную зону и является авторитетным. В этом случае он не должен осуществлять ресолвинг внешних зон. 2. Является кеширующим и обслуживает локальную сеть. В этом случае он не обязан обслуживать запросы из внешних сетей. Если у вас своя зона (свой домен) и ваш сервер заодно является ns-сервером этой зоны, то отключите в нем рекурсию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swat11 Posted November 22, 2014 · Report post DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени Сервера QIWI и Comepay используют ваш DNS-сервер для ресолвинга? Очень странно. Уверен, что у них свои собственные DNS-сервера. DNS ставится на сервер в основном в двух случаях: 1. Обслуживает выделенную зону и является авторитетным. В этом случае он не должен осуществлять ресолвинг внешних зон. 2. Является кеширующим и обслуживает локальную сеть. В этом случае он не обязан обслуживать запросы из внешних сетей. Если у вас своя зона (свой домен) и ваш сервер заодно является ns-сервером этой зоны, то отключите в нем рекурсию. Как тогда грамотно закрыть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 22, 2014 · Report post Он не закрыт снаружи. В дефолтном конфиге "allow remote requests" НЕ отмечена. Даже если через квиксет настроить в роли домашнего роутера, то всё равно галочки нет. Будем дальше спорить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h3ll1 Posted November 22, 2014 · Report post > /etc/bind/named.conf.options allow-recursion { 192.168.0.0/24 }; allow-query-cache { 192.168.0.0/24 }; Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 22, 2014 · Report post Как тогда грамотно закрыть? /ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=твой WAN action=drop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 22, 2014 · Report post В дефолтном конфиге "allow remote requests" НЕ отмечена. И в этом случае абоненту нужно использовать сторонний DNS-сервер. Такой подход для домашнего роутера нормальным не назовешь. Иметь на борту DHCP и DNS — это уже стандарт де-факто для CPE. Как тогда грамотно закрыть? Понятия не имею. Нужно спрашивать у того, кто знаком с вашей сетью и кто ее настраивал. dst-port=53 in-interface=твой WAN А разве на скриншоте атака направлена на роутер? Я так понял, что на скриншоте транзитный трафик. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 22, 2014 · Report post И в этом случае абоненту нужно использовать сторонний DNS-сервер. Не нужно. Клиентам локальной сети он всё равно будет отвечать. Я так понял, что на скриншоте транзитный трафик. А я так не понял. И как теперь жить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 22, 2014 · Report post Клиентам локальной сети он всё равно будет отвечать. Не будет. Да и как он поймет, где клиенты локальной сети? У него нет WAN/LAN интерфейсов, все определяется конфигурацией. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swat11 Posted November 22, 2014 · Report post В дефолтном конфиге "allow remote requests" НЕ отмечена. И в этом случае абоненту нужно использовать сторонний DNS-сервер. Такой подход для домашнего роутера нормальным не назовешь. Иметь на борту DHCP и DNS — это уже стандарт де-факто для CPE. Как тогда грамотно закрыть? Понятия не имею. Нужно спрашивать у того, кто знаком с вашей сетью и кто ее настраивал. dst-port=53 in-interface=твой WAN А разве на скриншоте атака направлена на роутер? Я так понял, что на скриншоте транзитный трафик. Да, это транзитный трафик из сети вышестоящего через мой маршрутизатор к железке DNS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 24, 2014 · Report post swat11, для своем DNS-сервере разрешите рекурсию (allow-recursion) только для отмеченных подсетей (своей локальной сети и серверов QIWI и Comepay, если им это в самом деле нужно). Это если у вас своя зона и авторитетный сервер. Если зону обслуживает DNS-сервер регистратора — то на своем DNS нужно вообще заблокировать доступ снаружи(allow-query). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swat11 Posted November 24, 2014 · Report post swat11, для своем DNS-сервере разрешите рекурсию (allow-recursion) только для отмеченных подсетей (своей локальной сети и серверов QIWI и Comepay, если им это в самом деле нужно). Это если у вас своя зона и авторитетный сервер. Если зону обслуживает DNS-сервер регистратора — то на своем DNS нужно вообще заблокировать доступ снаружи(allow-query). Спасибо! Лишнее закрыл, всё работает :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...