swat11 Опубликовано 21 ноября, 2014 · Жалоба Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл. Что это может быть? Пытаются взломать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 21 ноября, 2014 · Жалоба Закрой днс снаружи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 21 ноября, 2014 · Жалоба Закрой днс снаружи. +1 Следующий этап включить логгирование А если все равно не понятно, что происходит, то используйте анализаторы траффика - tcpdump, pcap, netflow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 22 ноября, 2014 · Жалоба Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл. Что это может быть? Пытаются взломать? Норм, просто ты участвовал в ДНС ДДОСе на чей то сервер в Белизе на каймановых островах. Дырка микротика тому виной. Настраивайте фаервол и гуглите Mikrotik DNS DDOS. ЗЫ - у себя в сети вчера нашел тоже десятка два микротиков которые атаковали этот же ип. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 22 ноября, 2014 · Жалоба Добрый вечер! Стоит Ubuntu 14.04 на нём поднят DNS и вот уже несколько дней я наблюдаю странную активность в сети, в логах ни чего странного не нашёл. Что это может быть? Пытаются взломать? Норм, просто ты участвовал в ДНС ДДОСе на чей то сервер в Белизе на каймановых островах. Дырка микротика тому виной. Настраивайте фаервол и гуглите Mikrotik DNS DDOS. ЗЫ - у себя в сети вчера нашел тоже десятка два микротиков которые атаковали этот же ип. При чём тут дырка микротика? Я не ярый фанат или защитник микротика, но тут вы явно неправы. Если автор не потрудился закрыть снаружи ДНС, то дело не в микротике, а в авторе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 ноября, 2014 · Жалоба Хорошим тоном является запрещать то, что не разрешено явно. Хотя бы для входящих подключений. Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват. Правда автор пишет про Ubuntu, а на скриншоте явно Mikrotik. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 22 ноября, 2014 · Жалоба Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват. По умолчанию, днс снаружи закрыт. Так шта мимо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swat11 Опубликовано 22 ноября, 2014 · Жалоба Хорошим тоном является запрещать то, что не разрешено явно. Хотя бы для входящих подключений. Если на МТ нужно явно закрывать открытый по умолчанию DNS-релей, то МТ тут тоже виноват. Правда автор пишет про Ubuntu, а на скриншоте явно Mikrotik. Всё верно, микротик выступает в роли маршрутизатора, на сервере поднят DNS и платёжные модули QIWI и Comepay. Тогда вопрос, как закрыть так, чтобы не нарушить взаимодействие с серверами QIWI и Comepay? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 ноября, 2014 · Жалоба Если на МТ DNS-релей не включен, тогда нужно разбираться с сервером. Для чего на нем DNS? Разрешена рекурсия? Он обслуживает запросы снаружи? По умолчанию, днс снаружи закрыт. Он не закрыт снаружи. Он включен или выключен. Если включен, то для всех и закрывать его снаружи нужно дополнительно. http://demo.mt.lv/webfig/#IP:DNS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swat11 Опубликовано 22 ноября, 2014 · Жалоба Если на МТ DNS-релей не включен, тогда нужно разбираться с сервером. Для чего на нем DNS? Разрешена рекурсия? Он обслуживает запросы снаружи? DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени, пробовал закрывать снаружи и всё сразу отваливалось Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 ноября, 2014 · Жалоба DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени Сервера QIWI и Comepay используют ваш DNS-сервер для ресолвинга? Очень странно. Уверен, что у них свои собственные DNS-сервера. DNS ставится на сервер в основном в двух случаях: 1. Обслуживает выделенную зону и является авторитетным. В этом случае он не должен осуществлять ресолвинг внешних зон. 2. Является кеширующим и обслуживает локальную сеть. В этом случае он не обязан обслуживать запросы из внешних сетей. Если у вас своя зона (свой домен) и ваш сервер заодно является ns-сервером этой зоны, то отключите в нем рекурсию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swat11 Опубликовано 22 ноября, 2014 · Жалоба DNS для обработки запросов со стороны серверов QIWI и Comepay, так как они обращаются по доменному имени Сервера QIWI и Comepay используют ваш DNS-сервер для ресолвинга? Очень странно. Уверен, что у них свои собственные DNS-сервера. DNS ставится на сервер в основном в двух случаях: 1. Обслуживает выделенную зону и является авторитетным. В этом случае он не должен осуществлять ресолвинг внешних зон. 2. Является кеширующим и обслуживает локальную сеть. В этом случае он не обязан обслуживать запросы из внешних сетей. Если у вас своя зона (свой домен) и ваш сервер заодно является ns-сервером этой зоны, то отключите в нем рекурсию. Как тогда грамотно закрыть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 22 ноября, 2014 · Жалоба Он не закрыт снаружи. В дефолтном конфиге "allow remote requests" НЕ отмечена. Даже если через квиксет настроить в роли домашнего роутера, то всё равно галочки нет. Будем дальше спорить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h3ll1 Опубликовано 22 ноября, 2014 · Жалоба > /etc/bind/named.conf.options allow-recursion { 192.168.0.0/24 }; allow-query-cache { 192.168.0.0/24 }; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 22 ноября, 2014 · Жалоба Как тогда грамотно закрыть? /ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=твой WAN action=drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 ноября, 2014 · Жалоба В дефолтном конфиге "allow remote requests" НЕ отмечена. И в этом случае абоненту нужно использовать сторонний DNS-сервер. Такой подход для домашнего роутера нормальным не назовешь. Иметь на борту DHCP и DNS — это уже стандарт де-факто для CPE. Как тогда грамотно закрыть? Понятия не имею. Нужно спрашивать у того, кто знаком с вашей сетью и кто ее настраивал. dst-port=53 in-interface=твой WAN А разве на скриншоте атака направлена на роутер? Я так понял, что на скриншоте транзитный трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 22 ноября, 2014 · Жалоба И в этом случае абоненту нужно использовать сторонний DNS-сервер. Не нужно. Клиентам локальной сети он всё равно будет отвечать. Я так понял, что на скриншоте транзитный трафик. А я так не понял. И как теперь жить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 ноября, 2014 · Жалоба Клиентам локальной сети он всё равно будет отвечать. Не будет. Да и как он поймет, где клиенты локальной сети? У него нет WAN/LAN интерфейсов, все определяется конфигурацией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swat11 Опубликовано 22 ноября, 2014 · Жалоба В дефолтном конфиге "allow remote requests" НЕ отмечена. И в этом случае абоненту нужно использовать сторонний DNS-сервер. Такой подход для домашнего роутера нормальным не назовешь. Иметь на борту DHCP и DNS — это уже стандарт де-факто для CPE. Как тогда грамотно закрыть? Понятия не имею. Нужно спрашивать у того, кто знаком с вашей сетью и кто ее настраивал. dst-port=53 in-interface=твой WAN А разве на скриншоте атака направлена на роутер? Я так понял, что на скриншоте транзитный трафик. Да, это транзитный трафик из сети вышестоящего через мой маршрутизатор к железке DNS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 24 ноября, 2014 · Жалоба swat11, для своем DNS-сервере разрешите рекурсию (allow-recursion) только для отмеченных подсетей (своей локальной сети и серверов QIWI и Comepay, если им это в самом деле нужно). Это если у вас своя зона и авторитетный сервер. Если зону обслуживает DNS-сервер регистратора — то на своем DNS нужно вообще заблокировать доступ снаружи(allow-query). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swat11 Опубликовано 24 ноября, 2014 · Жалоба swat11, для своем DNS-сервере разрешите рекурсию (allow-recursion) только для отмеченных подсетей (своей локальной сети и серверов QIWI и Comepay, если им это в самом деле нужно). Это если у вас своя зона и авторитетный сервер. Если зону обслуживает DNS-сервер регистратора — то на своем DNS нужно вообще заблокировать доступ снаружи(allow-query). Спасибо! Лишнее закрыл, всё работает :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...