DNS DDOS и iptables

0

2

Начал меня ддосить кто то днс-запросами.

/var/log/named/security.log пестрит сообщениями

06-Jul-2012 10:20:00.018 client 193.188.101.174#53: query (cache) 'ripe.net/ANY/IN' denied
06-Jul-2012 10:20:00.311 client 193.188.101.174#53: query (cache) 'ripe.net/ANY/IN' denied

Решил я попробовать забанить 193.188.101.174.

Прописал в /etc/hosts.deny

named: 193.188.101.174

Не помогло.

В iptables

:INPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 193.188.101.174/32 -j DROP

Все равно

tcpdump -i any -nnS port 53
10:23:19.939237 IP 193.188.101.174.53 > 10.8.4.102.53: 952+ [1au] ANY? ripe.net. (38)
10:23:19.939432 IP 10.8.4.102.53 > 193.188.101.174.53: 952 Refused- 0/0/1 (37)
2 packets captured
2 packets received by filter
0 packets dropped by kernel

fail2ban, соответственно, тоже не банит, хотя правило в iptables добавляет.

В общем, никак не пойму, что не так.

Ссылка

←	Пароль для пользователей не воспринимается командами su, passwd

OpenSSL и источник рандома

→

По второй части:

wire -> NIC -> tcpdump -> INPUT chain
OUTPUT chain -> tcpdump -> NIC -> wire

tcpdump-ом должно быть видно, а в /var/log/named/security.log должна быть тишина.

NightSpamer ★
(06.07.12 16:04:57 MSK)

Ссылка

а зачем у тебя ns сервера всем открыты, это так задумано?

можешь перекидывать их на 8.8.8.8, пусть себе ддосят

~~xtraeft~~ ★★☆☆
(06.07.12 16:17:46 MSK)

Ссылка

У меня тоже самое уже пару дней. Зашел на форум с гугла. Вот тут еще один страдалец http://forum.lissyara.su/viewtopic.php?f=4&t=36915. Трафик достаточно приличный. Тоже проделал все вышеописанные операции, но без толку. Самое интересное, что я вообще сервер днс не использую. В принципе оно не сильно напрягает, но трафик считается.

mihas
(06.07.12 18:28:14 MSK)

Ссылка

А у вас в ядре есть обработка udp dns-пакетов, так, что после ответа dns-сервера запись из conntrackа вычёркивается?

А iptables лучше смотреть со счётчиками, тогда будет видно, работает ли правило, или всё идёт по "--state RELATED,ESTABLISHED".

mky ★★★★★
(08.07.12 15:15:42 MSK)

Ссылка

1) named ЕМНИП не юзает tcp wrappers
2) tcpdump на прием работает ДО iptables INPUT

Pinkbyte ★★★★★
(12.07.12 23:46:30 MSK)
Последнее исправление: Pinkbyte 12.07.12 23:46:36 MSK (всего исправлений: 1)

Ссылка

Глянь в conntracl -L есть ли этот хост.

anton_jugatsu ★★★★
(17.07.12 14:33:31 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Пароль для пользователей не воспринимается командами su, passwd

Security

OpenSSL и источник рандома

→

Похожие темы