LINUX.ORG.RU
ФорумAdmin

DNS flood


0

0

Недавно на входном интерфейсе роутера обнаружил повышенный исходящий
трафик. При анализе трафика с помощью softflowd обнаружены постоянные
запросы с нескольких ip адресов с интервалом от 2 до 6 секунд на мой dns cервер. Вот эти IP 208.76.253.253
71.6.131.81
64.27.1.194
65.23.129.220
70.86.80.98
69.64.87.156
89.149.221.182

Советую обратить внимание, так как примерно теже адреса я наблюдал на другом роутере, находящемся в другой сети.
Cейчас на эти адреса сделал:
# iptables -I INPUT 1 -i eth0 -s 89.149.221.182 -p udp -d MYIP --drport 53 -j DROP
# iptables -I INPUT 1 -i eth0 -s 89.149.221.182 -p tcp -d MYIP --drport 53 -j DROP

anonymous

Ответ на: комментарий от sidor

чето я так и не понял в чем заключался вопрос...

ну пофлудили немного... забанили негодяев... а дальше-то что?

drull ★☆☆☆
()

У меня тоже 89.149.221.182 лезет все время. Интересно, то что он при этом запрашивает зону root:

05-Feb-2009 10:12:48.359 client 89.149.221.182#59334: query: . IN NS +
05-Feb-2009 10:12:48.811 client 89.149.221.182#36559: query: . IN NS +
05-Feb-2009 10:12:51.154 client 89.149.221.182#30348: query: . IN NS +
05-Feb-2009 10:12:52.128 client 89.149.221.182#30762: query: . IN NS +

Сразу вопрос: в не должен ли bind пресекать запросы к зоне типа hint? Это же не обычная зона... Я бы даже сказал, что, судя по документации, доступ к ней нельзя ограничить, так как он предоставлен только самому DNS-серверу. А не удаленным клиентам.

Noldor
()
Ответ на: комментарий от anonymous

>>zone "." {
>>type hint;

>>file "/dev/null";

>>};


интересное решение....

drull ★☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.