Bind очень много запросов на левые адреса

0

1

Добрый день. Помогите с проблемой, на сервер bind проходит очень много запросов с разных IP, вот кусок лога:

Настроил fail2ban на самый частый запрос
client <HOST>.*motorcs
За 20 минут было забанено 8000 адерсов, что наверное не очень хорошо скажется на производительности. Есть ли какие нибудь другие способы борьбы ?

Вот конфиг BIND

options {
listen-on port 53 { any; };
listen-on-v6 port 53 { none; };
directory «/var/named»;
dump-file «/var/named/data/cache_dump.db»;
statistics-file «/var/named/data/named_stats.txt»;
memstatistics-file «/var/named/data/named_mem_stats.txt»;
allow-query { localhost; trusted; };
allow-transfer { trusted; };
allow-recursion { 172.16.0.0/16;10.0.0.0/8; };
recursion yes;

dnssec-enable no;
dnssec-validation no;
dnssec-lookaside auto;
bindkeys-file «/etc/named.iscdlv.key»;
managed-keys-directory «/var/named/dynamic»;
pid-file «/run/named/named.pid»;
session-keyfile «/run/named/session.key»;
};

Ссылка

←	Разные default маршруты в зависимости от интерфейса на который пришел запрос?

Непонятки с nginx

→

Всех, кто не trusted забанить парой строк в iptables, например.

NightSpamer ★
(27.03.15 10:59:56 MSK)

Ответ на: комментарий от NightSpamer 27.03.15 10:59:56 MSK

Забыл уточнить - сервер авторитетный, нужно что бы с него из интернета могли брать адреса из моей зоны.

Set_Me_Free
(27.03.15 11:22:57 MSK) автор топика

Ответ на: комментарий от Set_Me_Free 27.03.15 11:22:57 MSK

В общем-то, не должно напрягать. 3GHz P4 двухядерный прожёвывает порядка 800К в сутки практически не замечая. Не стоит забывать ябедничать на самых активных, кстати.

Но, вообще, начиная с 9.9.5 (кажется) в bind появился rate-limit. Впрочем, просто отлуп, может, и быстрее работает.

AS ★★★★★
(27.03.15 12:35:19 MSK)

Ответ на: комментарий от AS 27.03.15 12:35:19 MSK

Спасибо, почитаю про rate-limit.

Set_Me_Free
(27.03.15 12:59:29 MSK) автор топика

Ответ на: комментарий от Set_Me_Free 27.03.15 12:59:29 MSK

Какой чушью люди готовы заниматься! DNS-сервер на современном железе способен более 10K запросов в секунду обрабатывать, а они какие-то тормозные костыли к нему изолентой приматывают, чтобы нагрузку на 10 запросов в секунду сократить. Причём потенциально это может привести к тому, что кеши, которые они забанили за то, что сквозь них кто-то делает запросы на резолв несуществующих в зоне имён, после наложения бана не смогут резолвить и вполне существующие в их зоне имена.

iliyap ★★★★★
(28.03.15 07:16:52 MSK)
Последнее исправление: iliyap 28.03.15 07:20:35 MSK (всего исправлений: 1)

Ответ на: комментарий от iliyap 28.03.15 07:16:52 MSK

DNS сервер автора скорее всего является участником DNS amplification DDoS attaсk и банит он не кэши, а бедных жертв IP-спуфинга, на которых и направлена атака.

Вот бегло посмотрел на диапазоны IP откуда идут запросы: Daimler AG, duPont, General Electric.

rubic ★
(28.03.15 08:08:06 MSK)

Ответ на: комментарий от rubic 28.03.15 08:08:06 MSK

Для DNS amplification надо чтобы ответ был крупнее запроса. Запросами A-записей на несуществующие имена amplification не устроишь.

iliyap ★★★★★
(29.03.15 07:13:55 MSK)

Ответ на: комментарий от iliyap 29.03.15 07:13:55 MSK

Да, но это ведь не исключает попыток использовать сервер автора для атаки. Кто знает какими списками DNS кормит атакующий свой ботнет и сколько в этих списках реально пригодных для DDoS. Просто долбит по площадям, когда там разбираться.

rubic ★
(29.03.15 09:21:55 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Разные default маршруты в зависимости от интерфейса на который пришел запрос?

Admin

Непонятки с nginx

→

Похожие темы