[swat11]

Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл.

Что это может быть? Пытаются взломать?

 

[Diamont]

Закрой днс снаружи.

[vlad11]

Закрой днс снаружи.

 

+1

Следующий этап включить логгирование

А если все равно не понятно, что происходит, то используйте анализаторы траффика - tcpdump, pcap, netflow

[dIMbI4]

Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл.

Что это может быть? Пытаются взломать?

 

Норм, просто ты участвовал в ДНС ДДОСе на чей то сервер в Белизе на каймановых островах. Дырка микротика тому виной. Настраивайте фаервол и гуглите Mikrotik DNS DDOS.

ЗЫ - у себя в сети вчера нашел тоже десятка два микротиков которые атаковали этот же ип.

[g3fox]

Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл.

Что это может быть? Пытаются взломать?

 

Норм, просто ты участвовал в ДНС ДДОСе на чей то сервер в Белизе на каймановых островах. Дырка микротика тому виной. Настраивайте фаервол и гуглите Mikrotik DNS DDOS.

ЗЫ - у себя в сети вчера нашел тоже десятка два микротиков которые атаковали этот же ип.

 

При чём тут дырка микротика? Я не ярый фанат или защитник микротика, но тут вы явно неправы. Если автор не потрудился закрыть снаружи ДНС, то дело не в микротике, а в авторе.

[alibek]

Хорошим тоном является запрещать то, что не разрешено явно. Хотя бы для входящих подключений.

Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват.

Правда автор пишет про Ubuntu, а на скриншоте явно Mikrotik.

[Diamont]

Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват.

По умолчанию, днс снаружи закрыт. Так шта мимо.

[swat11]

Хорошим тоном является запрещать то, что не разрешено явно. Хотя бы для входящих подключений.

Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват.

Правда автор пишет про Ubuntu, а на скриншоте явно Mikrotik.

Всё верно, микротик выступает в роли маршрутизатора, на сервере поднят DNS и платёжные модули QIWI и Comepay. Тогда вопрос, как закрыть так, чтобы не нарушить взаимодействие с серверами QIWI и Comepay?

[alibek]

Если на МТ DNS-релей не включен, тогда нужно разбираться с сервером.

Для чего на нем DNS? Разрешена рекурсия? Он обслуживает запросы снаружи?

 

По умолчанию, днс снаружи закрыт.

Он не закрыт снаружи.

Он включен или выключен.

Если включен, то для всех и закрывать его снаружи нужно дополнительно.

http://demo.mt.lv/webfig/#IP:DNS

[swat11]

Если на МТ DNS-релей не включен, тогда нужно разбираться с сервером.

Для чего на нем DNS? Разрешена рекурсия? Он обслуживает запросы снаружи?

DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени, пробовал закрывать снаружи и всё сразу отваливалось

[alibek]

DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени

Сервера QIWI и Comepay используют ваш DNS-сервер для ресолвинга?

Очень странно.

Уверен, что у них свои собственные DNS-сервера.

DNS ставится на сервер в основном в двух случаях:

1. Обслуживает выделенную зону и является авторитетным. В этом случае он не должен осуществлять ресолвинг внешних зон.

2. Является кеширующим и обслуживает локальную сеть. В этом случае он не обязан обслуживать запросы из внешних сетей.

Если у вас своя зона (свой домен) и ваш сервер заодно является ns-сервером этой зоны, то отключите в нем рекурсию.

[swat11]

DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени

Сервера QIWI и Comepay используют ваш DNS-сервер для ресолвинга?

Очень странно.

Уверен, что у них свои собственные DNS-сервера.

DNS ставится на сервер в основном в двух случаях:

1. Обслуживает выделенную зону и является авторитетным. В этом случае он не должен осуществлять ресолвинг внешних зон.

2. Является кеширующим и обслуживает локальную сеть. В этом случае он не обязан обслуживать запросы из внешних сетей.

Если у вас своя зона (свой домен) и ваш сервер заодно является ns-сервером этой зоны, то отключите в нем рекурсию.

Как тогда грамотно закрыть?

[Diamont]

Он не закрыт снаружи.

В дефолтном конфиге "allow remote requests" НЕ отмечена. Даже если через квиксет настроить в роли домашнего роутера, то всё равно галочки нет. Будем дальше спорить?

[h3ll1]

> /etc/bind/named.conf.options

allow-recursion { 192.168.0.0/24 };

allow-query-cache { 192.168.0.0/24 };

[Diamont]

Как тогда грамотно закрыть?

/ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=твой WAN action=drop

[alibek]

В дефолтном конфиге "allow remote requests" НЕ отмечена.

И в этом случае абоненту нужно использовать сторонний DNS-сервер.

Такой подход для домашнего роутера нормальным не назовешь. Иметь на борту DHCP и DNS — это уже стандарт де-факто для CPE.

 

Как тогда грамотно закрыть?

Понятия не имею.

Нужно спрашивать у того, кто знаком с вашей сетью и кто ее настраивал.

 

dst-port=53 in-interface=твой WAN

А разве на скриншоте атака направлена на роутер?

Я так понял, что на скриншоте транзитный трафик.

[Diamont]

И в этом случае абоненту нужно использовать сторонний DNS-сервер.

Не нужно. Клиентам локальной сети он всё равно будет отвечать.

 

Я так понял, что на скриншоте транзитный трафик.

А я так не понял. И как теперь жить?

[alibek]

Клиентам локальной сети он всё равно будет отвечать.

Не будет.

Да и как он поймет, где клиенты локальной сети?

У него нет WAN/LAN интерфейсов, все определяется конфигурацией.

[swat11]

В дефолтном конфиге "allow remote requests" НЕ отмечена.

И в этом случае абоненту нужно использовать сторонний DNS-сервер.

Такой подход для домашнего роутера нормальным не назовешь. Иметь на борту DHCP и DNS — это уже стандарт де-факто для CPE.

 

Как тогда грамотно закрыть?

Понятия не имею.

Нужно спрашивать у того, кто знаком с вашей сетью и кто ее настраивал.

 

dst-port=53 in-interface=твой WAN

А разве на скриншоте атака направлена на роутер?

Я так понял, что на скриншоте транзитный трафик.

Да, это транзитный трафик из сети вышестоящего через мой маршрутизатор к железке DNS

[alibek]

swat11, для своем DNS-сервере разрешите рекурсию (allow-recursion) только для отмеченных подсетей (своей локальной сети и серверов QIWI и Comepay, если им это в самом деле нужно).

Это если у вас своя зона и авторитетный сервер. Если зону обслуживает DNS-сервер регистратора — то на своем DNS нужно вообще заблокировать доступ снаружи(allow-query).

[swat11]

swat11, для своем DNS-сервере разрешите рекурсию (allow-recursion) только для отмеченных подсетей (своей локальной сети и серверов QIWI и Comepay, если им это в самом деле нужно).

Это если у вас своя зона и авторитетный сервер. Если зону обслуживает DNS-сервер регистратора — то на своем DNS нужно вообще заблокировать доступ снаружи(allow-query).

Спасибо! Лишнее закрыл, всё работает :)