когда уменьшил лимиты, скрипт стал срабатывать) уменьшил время блока до 60 сек,запросы до 20 и крон стал срабатывать. спасибо за скрипт) в предыдущем сообщении выхлоп гляньте,77 строка)
а ты уверен, что это школьники? посмотри, не на 53-й ли порт это валится. а то в последнее время в интернетах стало много паразитного трафика в DNS протоколе. адреса заспуфлены, но, судя по всему, прёт эта гадость откуда-то с китайских доменов. дальше всякие криво настроенные роутеры это всё умножают и по сети лавиной распространяется огромная масса гомна. я наблюдаю это уже довольно долго. у нас клиенты - провайдеры. сначала они начали жаловаться, что DNS проседает, а теперь я на тестовых серверах и на продакшене по всему миру вижу потоки говна на 53 порт. причём хрен их заблэкхолишь. для наших серверов это не существенная нагрузка. но для мелких провайдеров и частных серверов - порядочная.
не, не это. хотя я много всего видела в пакетах весёлого. но вот в последний месяц (примерно так) валит какой-то DNS ddos на пару-тройку китайских доменов. валит везде, и в нашей стране, и за рубежом. идёт поток запросов, разрешающихся в NXDOMAIN (сгенерённый мусор в домене третьего уровня). исходные адреса заспуфлены. иногда неверная чексумма в DNS-пакете. долбят любые сервера, на которых 53-й порт открыт. причём сначала долбят редко, а если обнаруживают ответы, то начинают долбить гораздо шустрее. это всё создаёт нагрузку на авторитативные сервера. отловить источник пока не знаю как.
канал у нас большой, но hashlimit не годится. у нас DNS-сервер с фильтрацией. типа, клиенты платят деньги за такой DNS и хотят, чтобы он работал, причём быстро. а юзеров много. поэтому приходится фильтровать выборочно. мы пока два домена, на которые идут атаки, выявили. и фильтруем их. но доменов может быть сколько угодно, на самом деле. и вообще-то не дело банить домены (даже китайские), которые подверглись атаке, потому что они вообще могут не знать о том, что на них идёт атака ботов. и по идее любой домен так могут заддосить. так что вменяемого решения этой проблемы пока нет. разве что всем миром выискивать начальный источник этих сообщений по TTL и банить на уровне провайдера.