forum.opennet.ru - "DNS атаки пожерают мой трафик!!! Че делать!!!" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"DNS атаки пожерают мой трафик!!! Че делать!!!"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"DNS атаки пожерают мой трафик!!! Че делать!!!"
Сообщение от Fandr on 05-Апр-04, 20:41 (MSK)
Привет всем! Есть сервак - FreeBSD 5.2.1 Поднят ДНС - bind 9.2.3 Проблема состоит в следующем, если глянуть на трафик то вот следующая картина: trafshow -i rl0 port domain --------------------------------------------------- ip503da326.speed.planet.nl..1026 МОЙСЕРВАК..domain udp 128115 135 g208156.upc-g.chello.nl..1026 МОЙСЕРВАК..domain udp 76410 117 dslam189-171-166-62.adsl.zonn..1026 МОЙСЕРВАК..domain udp 72000 72 ledn-csl-223d6.adsl.wanadoo.n..1026 МОЙСЕРВАК..domain udp 54720 72 node14690.a2000.nl..1026 МОЙСЕРВАК..domain udp 54225 90 node1ef3e.a2000.nl..1026 МОЙСЕРВАК..domain udp 53325 54 cp545485-a.dbsch1.nb.home.nl..1026 МОЙСЕРВАК..domain udp 52830 45 ---------------------------------------------------- И эти ДНС запроси висят постоянно, сьедает 80-100 байт в секунду каждый запрос. Вродебы безобидный трафик, но если пощитать, то в месяц это выливается в 1,3-1,7 ГИГАБАЙТА!!!! Возвратка не показана, так как я зарезал ее на фаерволе, а то без обрезки наганяло еще больше левого трафика. Народ че делать??? Кто такое видал??? Или может кто щас имеет такуюже проблему??? И Самое главное что все валит с зоны .nl Я обращался к прову, он говорит что это мой трафик, и у себя рубать его не будет... Да и рубать его нетак то просто получается... Потому что адреса постоянно меняются, порубиш одних, завтра таже картина уже с другими адресами...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

DNS атаки пожерают мой трафик!!! Че делать!!!, yard, 23:12 , 05-Апр-04, (1)
- DNS атаки пожерают мой трафик!!! Че делать!!!, scum, 12:36 , 16-Апр-04, (2)
- DNS атаки пожерают мой трафик!!! Че делать!!!, Andrey, 18:50 , 19-Апр-04, (3)
  - DNS атаки пожерают мой трафик!!! Че делать!!!, Andrey, 15:57 , 20-Апр-04, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "DNS атаки пожерают мой трафик!!! Че делать!!!"

Сообщение от yard on 05-Апр-04, 23:12  (MSK)

>Привет всем!
>Есть сервак - FreeBSD 5.2.1
>Поднят ДНС - bind 9.2.3
>Проблема состоит в следующем, если глянуть на трафик то вот следующая картина:
>
>
>trafshow -i rl0 port domain
>---------------------------------------------------
>ip503da326.speed.planet.nl..1026 МОЙСЕРВАК..domain udp 128115 135
>g208156.upc-g.chello.nl..1026 МОЙСЕРВАК..domain udp 76410 117
>dslam189-171-166-62.adsl.zonn..1026 МОЙСЕРВАК..domain udp 72000 72
>ledn-csl-223d6.adsl.wanadoo.n..1026 МОЙСЕРВАК..domain udp 54720 72
>node14690.a2000.nl..1026 МОЙСЕРВАК..domain udp 54225 90
>node1ef3e.a2000.nl..1026 МОЙСЕРВАК..domain udp 53325 54
>cp545485-a.dbsch1.nb.home.nl..1026 МОЙСЕРВАК..domain udp 52830 45
>----------------------------------------------------
>И эти ДНС запроси висят постоянно, сьедает 80-100 байт в секунду каждый
>запрос. Вродебы безобидный трафик, но если пощитать, то в месяц это
>выливается в 1,3-1,7 ГИГАБАЙТА!!!! Возвратка не показана, так как я зарезал
>ее на фаерволе, а то без обрезки наганяло еще больше левого
>трафика.
>
>Народ че делать??? Кто такое видал??? Или может кто щас имеет такуюже
>проблему???
>И Самое главное что все валит с зоны .nl
>Я обращался к прову, он говорит что это мой трафик, и у
>себя рубать его не будет...
>Да и рубать его нетак то просто получается... Потому что адреса постоянно
>меняются, порубиш
>одних, завтра таже картина уже с другими адресами...
а запросы к твоему dns'у для какой зоны валят? если у тебя таких зон нету, то как вариант посмотри в сторону non recursive dns
brgrds

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "DNS атаки пожерают мой трафик!!! Че делать!!!"

Сообщение от scum (??) on 16-Апр-04, 12:36  (MSK)

посмотри на исходный порт - 1026. Он всегда одинаковый? Если так, то тебя явно валят. Причем, не обязательно с ip адресов из доменов *.nl. Судя по всему, исходные адреса подложные. Так что надо с провом вместе искать этого чела. Пров должен знать, как это делается.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "DNS атаки пожерают мой трафик!!! Че делать!!!"

Сообщение от Andrey (??) on 19-Апр-04, 18:50  (MSK)

Та же самая проблема
только пакетики по 900 - 1400 байт
пров говорит подождать понаблюдать
мол народ подолбится да может сам отвалится :)
А у тебя как?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "DNS атаки пожерают мой трафик!!! Че делать!!!"

Сообщение от Andrey (??) on 20-Апр-04, 15:57  (MSK)

Вот еще можно посмотреть:
http://seclists.org/incidents/2000/Jul/0030.html

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "DNS атаки пожерают мой трафик!!! Че делать!!!"
Сообщение от yard on 05-Апр-04, 23:12 (MSK)
>Привет всем! >Есть сервак - FreeBSD 5.2.1 >Поднят ДНС - bind 9.2.3 >Проблема состоит в следующем, если глянуть на трафик то вот следующая картина: > > >trafshow -i rl0 port domain >--------------------------------------------------- >ip503da326.speed.planet.nl..1026 МОЙСЕРВАК..domain udp 128115 135 >g208156.upc-g.chello.nl..1026 МОЙСЕРВАК..domain udp 76410 117 >dslam189-171-166-62.adsl.zonn..1026 МОЙСЕРВАК..domain udp 72000 72 >ledn-csl-223d6.adsl.wanadoo.n..1026 МОЙСЕРВАК..domain udp 54720 72 >node14690.a2000.nl..1026 МОЙСЕРВАК..domain udp 54225 90 >node1ef3e.a2000.nl..1026 МОЙСЕРВАК..domain udp 53325 54 >cp545485-a.dbsch1.nb.home.nl..1026 МОЙСЕРВАК..domain udp 52830 45 >---------------------------------------------------- >И эти ДНС запроси висят постоянно, сьедает 80-100 байт в секунду каждый >запрос. Вродебы безобидный трафик, но если пощитать, то в месяц это >выливается в 1,3-1,7 ГИГАБАЙТА!!!! Возвратка не показана, так как я зарезал >ее на фаерволе, а то без обрезки наганяло еще больше левого >трафика. > >Народ че делать??? Кто такое видал??? Или может кто щас имеет такуюже >проблему??? >И Самое главное что все валит с зоны .nl >Я обращался к прову, он говорит что это мой трафик, и у >себя рубать его не будет... >Да и рубать его нетак то просто получается... Потому что адреса постоянно >меняются, порубиш >одних, завтра таже картина уже с другими адресами... а запросы к твоему dns'у для какой зоны валят? если у тебя таких зон нету, то как вариант посмотри в сторону non recursive dns brgrds
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "DNS атаки пожерают мой трафик!!! Че делать!!!"
	Сообщение от scum (??) on 16-Апр-04, 12:36 (MSK)
	посмотри на исходный порт - 1026. Он всегда одинаковый? Если так, то тебя явно валят. Причем, не обязательно с ip адресов из доменов *.nl. Судя по всему, исходные адреса подложные. Так что надо с провом вместе искать этого чела. Пров должен знать, как это делается.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "DNS атаки пожерают мой трафик!!! Че делать!!!"
	Сообщение от Andrey (??) on 19-Апр-04, 18:50 (MSK)
	Та же самая проблема только пакетики по 900 - 1400 байт пров говорит подождать понаблюдать мол народ подолбится да может сам отвалится :) А у тебя как?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "DNS атаки пожерают мой трафик!!! Че делать!!!"
	Сообщение от Andrey (??) on 20-Апр-04, 15:57 (MSK)
	Вот еще можно посмотреть: http://seclists.org/incidents/2000/Jul/0030.html
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх