swat11 Posted November 21, 2014 Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл. Что это может быть? Пытаются взломать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 21, 2014 Закрой днс снаружи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted November 21, 2014 Закрой днс снаружи. +1 Следующий этап включить логгирование А если все равно не понятно, что происходит, то используйте анализаторы траффика - tcpdump, pcap, netflow Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dIMbI4 Posted November 22, 2014 Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл. Что это может быть? Пытаются взломать? Норм, просто ты участвовал в ДНС ДДОСе на чей то сервер в Белизе на каймановых островах. Дырка микротика тому виной. Настраивайте фаервол и гуглите Mikrotik DNS DDOS. ЗЫ - у себя в сети вчера нашел тоже десятка два микротиков которые атаковали этот же ип. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted November 22, 2014 Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл. Что это может быть? Пытаются взломать? Норм, просто ты участвовал в ДНС ДДОСе на чей то сервер в Белизе на каймановых островах. Дырка микротика тому виной. Настраивайте фаервол и гуглите Mikrotik DNS DDOS. ЗЫ - у себя в сети вчера нашел тоже десятка два микротиков которые атаковали этот же ип. При чём тут дырка микротика? Я не ярый фанат или защитник микротика, но тут вы явно неправы. Если автор не потрудился закрыть снаружи ДНС, то дело не в микротике, а в авторе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 22, 2014 Хорошим тоном является запрещать то, что не разрешено явно. Хотя бы для входящих подключений. Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват. Правда автор пишет про Ubuntu, а на скриншоте явно Mikrotik. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 22, 2014 Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват. По умолчанию, днс снаружи закрыт. Так шта мимо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swat11 Posted November 22, 2014 Хорошим тоном является запрещать то, что не разрешено явно. Хотя бы для входящих подключений. Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват. Правда автор пишет про Ubuntu, а на скриншоте явно Mikrotik. Всё верно, микротик выступает в роли маршрутизатора, на сервере поднят DNS и платёжные модули QIWI и Comepay. Тогда вопрос, как закрыть так, чтобы не нарушить взаимодействие с серверами QIWI и Comepay? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 22, 2014 Если на МТ DNS-релей не включен, тогда нужно разбираться с сервером. Для чего на нем DNS? Разрешена рекурсия? Он обслуживает запросы снаружи? По умолчанию, днс снаружи закрыт. Он не закрыт снаружи. Он включен или выключен. Если включен, то для всех и закрывать его снаружи нужно дополнительно. http://demo.mt.lv/webfig/#IP:DNS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swat11 Posted November 22, 2014 Если на МТ DNS-релей не включен, тогда нужно разбираться с сервером. Для чего на нем DNS? Разрешена рекурсия? Он обслуживает запросы снаружи? DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени, пробовал закрывать снаружи и всё сразу отваливалось Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 22, 2014 DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени Сервера QIWI и Comepay используют ваш DNS-сервер для ресолвинга? Очень странно. Уверен, что у них свои собственные DNS-сервера. DNS ставится на сервер в основном в двух случаях: 1. Обслуживает выделенную зону и является авторитетным. В этом случае он не должен осуществлять ресолвинг внешних зон. 2. Является кеширующим и обслуживает локальную сеть. В этом случае он не обязан обслуживать запросы из внешних сетей. Если у вас своя зона (свой домен) и ваш сервер заодно является ns-сервером этой зоны, то отключите в нем рекурсию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swat11 Posted November 22, 2014 DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени Сервера QIWI и Comepay используют ваш DNS-сервер для ресолвинга? Очень странно. Уверен, что у них свои собственные DNS-сервера. DNS ставится на сервер в основном в двух случаях: 1. Обслуживает выделенную зону и является авторитетным. В этом случае он не должен осуществлять ресолвинг внешних зон. 2. Является кеширующим и обслуживает локальную сеть. В этом случае он не обязан обслуживать запросы из внешних сетей. Если у вас своя зона (свой домен) и ваш сервер заодно является ns-сервером этой зоны, то отключите в нем рекурсию. Как тогда грамотно закрыть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 22, 2014 Он не закрыт снаружи. В дефолтном конфиге "allow remote requests" НЕ отмечена. Даже если через квиксет настроить в роли домашнего роутера, то всё равно галочки нет. Будем дальше спорить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h3ll1 Posted November 22, 2014 > /etc/bind/named.conf.options allow-recursion { 192.168.0.0/24 }; allow-query-cache { 192.168.0.0/24 }; Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 22, 2014 Как тогда грамотно закрыть? /ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=твой WAN action=drop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 22, 2014 В дефолтном конфиге "allow remote requests" НЕ отмечена. И в этом случае абоненту нужно использовать сторонний DNS-сервер. Такой подход для домашнего роутера нормальным не назовешь. Иметь на борту DHCP и DNS — это уже стандарт де-факто для CPE. Как тогда грамотно закрыть? Понятия не имею. Нужно спрашивать у того, кто знаком с вашей сетью и кто ее настраивал. dst-port=53 in-interface=твой WAN А разве на скриншоте атака направлена на роутер? Я так понял, что на скриншоте транзитный трафик. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 22, 2014 И в этом случае абоненту нужно использовать сторонний DNS-сервер. Не нужно. Клиентам локальной сети он всё равно будет отвечать. Я так понял, что на скриншоте транзитный трафик. А я так не понял. И как теперь жить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 22, 2014 Клиентам локальной сети он всё равно будет отвечать. Не будет. Да и как он поймет, где клиенты локальной сети? У него нет WAN/LAN интерфейсов, все определяется конфигурацией. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swat11 Posted November 22, 2014 В дефолтном конфиге "allow remote requests" НЕ отмечена. И в этом случае абоненту нужно использовать сторонний DNS-сервер. Такой подход для домашнего роутера нормальным не назовешь. Иметь на борту DHCP и DNS — это уже стандарт де-факто для CPE. Как тогда грамотно закрыть? Понятия не имею. Нужно спрашивать у того, кто знаком с вашей сетью и кто ее настраивал. dst-port=53 in-interface=твой WAN А разве на скриншоте атака направлена на роутер? Я так понял, что на скриншоте транзитный трафик. Да, это транзитный трафик из сети вышестоящего через мой маршрутизатор к железке DNS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 24, 2014 swat11, для своем DNS-сервере разрешите рекурсию (allow-recursion) только для отмеченных подсетей (своей локальной сети и серверов QIWI и Comepay, если им это в самом деле нужно). Это если у вас своя зона и авторитетный сервер. Если зону обслуживает DNS-сервер регистратора — то на своем DNS нужно вообще заблокировать доступ снаружи(allow-query). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swat11 Posted November 24, 2014 swat11, для своем DNS-сервере разрешите рекурсию (allow-recursion) только для отмеченных подсетей (своей локальной сети и серверов QIWI и Comepay, если им это в самом деле нужно). Это если у вас своя зона и авторитетный сервер. Если зону обслуживает DNS-сервер регистратора — то на своем DNS нужно вообще заблокировать доступ снаружи(allow-query). Спасибо! Лишнее закрыл, всё работает :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...