LINUX.ORG.RU
ФорумAdmin

Bind очень много запросов на левые адреса

 , ,


0

1

Добрый день. Помогите с проблемой, на сервер bind проходит очень много запросов с разных IP, вот кусок лога:

http://pastebin.com/ecZgRXdS

Настроил fail2ban на самый частый запрос
client <HOST>.*motorcs
За 20 минут было забанено 8000 адерсов, что наверное не очень хорошо скажется на производительности. Есть ли какие нибудь другие способы борьбы ?

Вот конфиг BIND

options {
listen-on port 53 { any; };
listen-on-v6 port 53 { none; };
directory «/var/named»;
dump-file «/var/named/data/cache_dump.db»;
statistics-file «/var/named/data/named_stats.txt»;
memstatistics-file «/var/named/data/named_mem_stats.txt»;
allow-query { localhost; trusted; };
allow-transfer { trusted; };
allow-recursion { 172.16.0.0/16;10.0.0.0/8; };
recursion yes;

dnssec-enable no;
dnssec-validation no;
dnssec-lookaside auto;
bindkeys-file «/etc/named.iscdlv.key»;
managed-keys-directory «/var/named/dynamic»;
pid-file «/run/named/named.pid»;
session-keyfile «/run/named/session.key»;
};

Ответ на: комментарий от Set_Me_Free

В общем-то, не должно напрягать. 3GHz P4 двухядерный прожёвывает порядка 800К в сутки практически не замечая. Не стоит забывать ябедничать на самых активных, кстати.

Но, вообще, начиная с 9.9.5 (кажется) в bind появился rate-limit. Впрочем, просто отлуп, может, и быстрее работает.

AS ★★★★★ ()
Ответ на: комментарий от Set_Me_Free

Какой чушью люди готовы заниматься! DNS-сервер на современном железе способен более 10K запросов в секунду обрабатывать, а они какие-то тормозные костыли к нему изолентой приматывают, чтобы нагрузку на 10 запросов в секунду сократить. Причём потенциально это может привести к тому, что кеши, которые они забанили за то, что сквозь них кто-то делает запросы на резолв несуществующих в зоне имён, после наложения бана не смогут резолвить и вполне существующие в их зоне имена.

iliyap ★★★★★ ()
Последнее исправление: iliyap (всего исправлений: 1)
Ответ на: комментарий от iliyap

DNS сервер автора скорее всего является участником DNS amplification DDoS attaсk и банит он не кэши, а бедных жертв IP-спуфинга, на которых и направлена атака.

Вот бегло посмотрел на диапазоны IP откуда идут запросы: Daimler AG, duPont, General Electric.

rubic ()
Ответ на: комментарий от rubic

Для DNS amplification надо чтобы ответ был крупнее запроса. Запросами A-записей на несуществующие имена amplification не устроишь.

iliyap ★★★★★ ()
Ответ на: комментарий от iliyap

Да, но это ведь не исключает попыток использовать сервер автора для атаки. Кто знает какими списками DNS кормит атакующий свой ботнет и сколько в этих списках реально пригодных для DDoS. Просто долбит по площадям, когда там разбираться.

rubic ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.