URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1267
[ Назад ]
Исходное сообщение
"DNS атаки пожерают мой трафик!!! Че делать!!!"
Отправлено Fandr , 05-Апр-04 20:41 
Привет всем!
Есть сервак - FreeBSD 5.2.1
Поднят ДНС - bind 9.2.3
Проблема состоит в следующем, если глянуть на трафик то вот следующая картина:

trafshow -i rl0 port domain
---------------------------------------------------
ip503da326.speed.planet.nl..1026 МОЙСЕРВАК..domain udp 128115 135
g208156.upc-g.chello.nl..1026 МОЙСЕРВАК..domain udp 76410 117
dslam189-171-166-62.adsl.zonn..1026 МОЙСЕРВАК..domain udp 72000 72
ledn-csl-223d6.adsl.wanadoo.n..1026 МОЙСЕРВАК..domain udp 54720 72
node14690.a2000.nl..1026 МОЙСЕРВАК..domain udp 54225 90
node1ef3e.a2000.nl..1026 МОЙСЕРВАК..domain udp 53325 54
cp545485-a.dbsch1.nb.home.nl..1026 МОЙСЕРВАК..domain udp 52830 45
----------------------------------------------------
И эти ДНС запроси висят постоянно, сьедает 80-100 байт в секунду каждый запрос. Вродебы безобидный трафик, но если пощитать, то в месяц это выливается в 1,3-1,7 ГИГАБАЙТА!!!! Возвратка не показана, так как я зарезал ее на фаерволе, а то без обрезки наганяло еще больше левого трафика.

Народ че делать??? Кто такое видал??? Или может кто щас имеет такуюже проблему???
И Самое главное что все валит с зоны .nl
Я обращался к прову, он говорит что это мой трафик, и у себя рубать его не будет...
Да и рубать его нетак то просто получается... Потому что адреса постоянно меняются, порубиш
одних, завтра таже картина уже с другими адресами...

Содержание
Сообщения в этом обсуждении
"DNS атаки пожерают мой трафик!!! Че делать!!!"
Отправлено yard , 05-Апр-04 23:12 
>Привет всем!
>Есть сервак - FreeBSD 5.2.1
>Поднят ДНС - bind 9.2.3
>Проблема состоит в следующем, если глянуть на трафик то вот следующая картина:
>
>
>trafshow -i rl0 port domain
>---------------------------------------------------
>ip503da326.speed.planet.nl..1026 МОЙСЕРВАК..domain udp 128115 135
>g208156.upc-g.chello.nl..1026 МОЙСЕРВАК..domain udp 76410 117
>dslam189-171-166-62.adsl.zonn..1026 МОЙСЕРВАК..domain udp 72000 72
>ledn-csl-223d6.adsl.wanadoo.n..1026 МОЙСЕРВАК..domain udp 54720 72
>node14690.a2000.nl..1026 МОЙСЕРВАК..domain udp 54225 90
>node1ef3e.a2000.nl..1026 МОЙСЕРВАК..domain udp 53325 54
>cp545485-a.dbsch1.nb.home.nl..1026 МОЙСЕРВАК..domain udp 52830 45
>----------------------------------------------------
>И эти ДНС запроси висят постоянно, сьедает 80-100 байт в секунду каждый
>запрос. Вродебы безобидный трафик, но если пощитать, то в месяц это
>выливается в 1,3-1,7 ГИГАБАЙТА!!!! Возвратка не показана, так как я зарезал
>ее на фаерволе, а то без обрезки наганяло еще больше левого
>трафика.
>
>Народ че делать??? Кто такое видал??? Или может кто щас имеет такуюже
>проблему???
>И Самое главное что все валит с зоны .nl
>Я обращался к прову, он говорит что это мой трафик, и у
>себя рубать его не будет...
>Да и рубать его нетак то просто получается... Потому что адреса постоянно
>меняются, порубиш
>одних, завтра таже картина уже с другими адресами...

а запросы к твоему dns'у для какой зоны валят? если у тебя таких зон нету, то как вариант посмотри в сторону non recursive dns

brgrds

"DNS атаки пожерают мой трафик!!! Че делать!!!"
Отправлено scum , 16-Апр-04 12:36 
посмотри на исходный порт - 1026. Он всегда одинаковый? Если так, то тебя явно валят. Причем, не обязательно с ip адресов из доменов *.nl. Судя по всему, исходные адреса подложные. Так что надо с провом вместе искать этого чела. Пров должен знать, как это делается.
"DNS атаки пожерают мой трафик!!! Че делать!!!"
Отправлено Andrey , 19-Апр-04 18:50 
Та же самая проблема
только пакетики по 900 - 1400 байт
пров говорит подождать понаблюдать
мол народ подолбится да может сам отвалится :)
А у тебя как?


"DNS атаки пожерают мой трафик!!! Че делать!!!"
Отправлено Andrey , 20-Апр-04 15:57 
Вот еще можно посмотреть:
http://seclists.org/incidents/2000/Jul/0030.html