Начало » Discussions » DVO NET » dsos на name server 94.198.17.139 (У кого открыта рекурсия на внешний мир будте бдительны.)
dsos на name server 94.198.17.139 [сообщение #3638] Чт, 08 Август 2013 14:15 Переход к следующему сообщения
paulsh777 в настоящее время не в онлайне  paulsh777
Сообщений: 19
Зарегистрирован: Апрель 2008
Географическое положение: Владивосток
Registered Member
В пятницу 29 июля обратил внимание на резкое уменьшение свободной памяти на сервере. Обычно used память была на уровне 1 - 1,2 gb, а тут used 4gb и начала задействоваться виртуалка. В top первое место устойчиво занимает процесс named, который отьедает большую часть процессорного времени.
В логах named множественные запросы примерно такого вида
named[508]: client 50.23.28.107#25345: query (cache) 'isc.org/ANY/IN' denied
named[508]: client 186.2.164.197#25345: query (cache) 'ietf.org/ANY/IN' denied

В пик атаки валилось до 2000 запросов в секунду. Причем очень много много ip принадлежит провайдеру https://ddos-guard.net Который продает услуги по защите от таких атак.
Настроил fail2ban для бана таких сетей. Сейчас (забанено около 4000 Ip адресов) ситуация нормализовалась.
Если кто с таким сталкивался - отпишитесь.
Re: dsos на name server 94.198.17.139 [сообщение #3639 является ответом на сообщение #3638] Пн, 12 Август 2013 13:40 Переход к предыдущему сообщенияПереход к следующему сообщения
paulsh777 в настоящее время не в онлайне  paulsh777
Сообщений: 19
Зарегистрирован: Апрель 2008
Географическое положение: Владивосток
Registered Member
За выходные шли массовые запросы с адреса 50.23.28.107
Очень похоже на DDoS с умножением через DNS-резолвер как описано здесь http://www.xakep.ru/post/59564/default.asp
Re: dsos на name server 94.198.17.139 [сообщение #3640 является ответом на сообщение #3639] Ср, 14 Август 2013 09:56 Переход к предыдущему сообщенияПереход к следующему сообщения
AleZ в настоящее время не в онлайне  AleZ
Сообщений: 1259
Зарегистрирован: Май 2004
Географическое положение: Vladivostok, IACP FEBRAS
Senior Member

очередной DOS на dns ДВГИ (94.198.23.2) и "СС" ИАПУ (94.198.20.162) .
Источник - 186.2.166.71 (Казань,"pro-managed") - предоставляют защиту от DDOS Very Happy, заблокирован, хотя, возможно запросы идут путем подстановки этого адреса.


запросы вида
#fields
#ts	uid	id.orig_h	id.orig_p	id.resp_h	id.resp_p	proto	trans_id	query	qclass	qclass_name	qtype	qtype_name	rcode	rcode_name	AA	TC	RD	RA	Z	answers	TTLs	rejected

Aug 14 09:00:00	7pcIO9XZK4	186.2.166.71	62706	94.198.20.162	53	udp	8743	lkkn.net	1	C_INTERNET	1	A	0	NOERROR	F	F	T	T	0	204.46.43.29,204.46.43.30,204.46.43.31,204.46.43.32,204.46.43.33,204.46.43.34,204.46.43.35,204.46.43.36,204.46.43.37,204.46.43.38,204.46.43.39,204.46.43.40,204.46.43.41,204.46.43.42,204.46.43.43,204.46.43.44,204.46.43.45,204.46.43.46,204.46.43.47,204.46.43.48,204.46.43.49,204.46.43.50,204.46.43.51,204.46.43.52,204.46.43.53,204.46.43.54,204.46.43.55,204.46.43.56,204.46.43.57,204.46.43.58,204.46.43.59,204.46.43.60,204.46.43.61,204.46.43.62,204.46.43.63,204.46.43.64,204.46.43.65,204.46.43.66,204.46.43.67,204.46.43.68,204.46.43.69,204.46.43.70,204.46.43.71,204.46.43.72,204.46.43.73,204.46.43.74,204.46.43.75,204.46.43.76,204.46.43.77,204.46.43.78,204.46.43.79,204.46.43.80,204.46.43.81,204.46.43.82,204.46.43.83,204.46.43.84,204.46.43.85,204.46.43.86,204.46.43.87,204.46.43.88,204.46.43.89,204.46.43.90,204.46.43.91,204.46.43.92,204.46.43.93,204.46.43.94,204.46.43.95,204.46.43.96,204.46.43.97,204.46.43.98,204.46.43.99,204.46.43.100,204.46.43.101,204.46.43.102,204.46.43.103,204.46.43.104,204.46.43.105,204.46.43.106,204.46.43.107,204.46.43.108,204.46.43.109,204.46.43.110,204.46.43.111,204.46.43.112,204.46.43.113,204.46.43.114,204.46.43.115,204.46.43.116,204.46.43.117,204.46.43.118,204.46.43.119,204.46.43.120,204.46.43.121,204.46.43.122,204.46.43.123,204.46.43.124,204.46.43.125,204.46.43.126,204.46.43.127,204.46.43.128,204.46.43.129,204.46.43.130,204.46.43.131,204.46.43.132,204.46.43.133,204.46.43.134,204.46.43.135,204.46.43.136,204.46.43.137,204.46.43.138,204.46.43.139,204.46.43.140,204.46.43.141,204.46.43.142,204.46.43.143,204.46.43.144,204.46.43.145,204.46.43.146,204.46.43.147,204.46.43.148,204.46.43.149,204.46.43.150,204.46.43.151,204.46.43.152,204.46.43.153,204.46.43.154,204.46.43.155,204.46.43.156,204.46.43.157,204.46.43.158,204.46.43.159,204.46.43.160,204.46.43.161,204.46.43.162,204.46.43.163,204.46.43.164,204.46.43.165,204.46.43.166,204.46.43.167,204.46.43.168,204.46.43.169,204.46.43.170,204.46.43.171,204.46.43.172,204.46.43.173,204.46.43.174,204.46.43.175,204.46.43.176,204.46.43.177,204.46.43.178,204.46.43.179,204.46.43.180,204.46.43.181,204.46.43.182,204.46.43.183,204.46.43.184,204.46.43.185,204.46.43.186,204.46.43.187,204.46.43.188,204.46.43.189,204.46.43.190,204.46.43.191,204.46.43.192,204.46.43.193,204.46.43.194,204.46.43.195,204.46.43.196,204.46.43.197,204.46.43.198,204.46.43.199,204.46.43.200,204.46.43.201,204.46.43.202,204.46.43.203,204.46.43.204,204.46.43.205,204.46.43.206,204.46.43.207,204.46.43.208,204.46.43.209,204.46.43.210,204.46.43.211,204.46.43.212,204.46.43.213,204.46.43.214,204.46.43.215,204.46.43.216,204.46.43.217,204.46.43.218,204.46.43.219,204.46.43.220,204.46.43.221,204.46.43.222,204.46.43.223,204.46.43.224,204.46.43.225,204.46.43.226,204.46.43.227,204.46.43.228,178.208.83.14,204.46.43.1,204.46.43.2,204.46.43.3,204.46.43.4,204.46.43.5,204.46.43.6,204.46.43.7,204.46.43.8,204.46.43.9,204.46.43.10,204.46.43.11,204.46.43.12,204.46.43.13,204.46.43.14,204.46.43.15,204.46.43.16,204.46.Jan  1 10:00:43,204.46.43.18,204.46.43.19,204.46.43.20,204.46.43.21,204.46.43.22,204.46.43.23,204.46.43.24,204.46.43.25,204.46.43.26,204.46.43.27,204.46.43.28	581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.0Jan  1 10:00:00,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.0Jan  1 10:00:00,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000,581.000000	F

Суть в том, что lkkn.net разрешается в 228 IPv4 адресов. Ответ получается довольно объемным. Владельцы DNS-ов, обратите внимание, похоже у вас разрешены рекурсивные запросы из внешних сетей.

Настройка централизованного блокирования подобных глупостей на подходе, пока можно использовать www.fail2ban.org .

[Обновления: Ср, 14 Август 2013 10:13]

Известить модератора

Re: dsos на name server 94.198.17.139 [сообщение #3641 является ответом на сообщение #3638] Ср, 14 Август 2013 14:56 Переход к предыдущему сообщенияПереход к следующему сообщения
paulsh777 в настоящее время не в онлайне  paulsh777
Сообщений: 19
Зарегистрирован: Апрель 2008
Географическое положение: Владивосток
Registered Member
На данный момент у 94.198.17.130 ситуация нормализовалась
Запрет рекурсии для внешних IP и неделя работы fail2ban свое дело сделали. за сегодня запросов типа
query (cache) 'isc.org/ANY/IN' denied
query (cache) 'ietf.org/ANY/IN' denied
нет совсем.
Правда в jail у fail2ban находится 1012 ip адресов.
Re: dsos на name server 94.198.17.139 [сообщение #3645 является ответом на сообщение #3638] Чт, 05 Сентябрь 2013 11:20 Переход к предыдущему сообщения
AleZ в настоящее время не в онлайне  AleZ
Сообщений: 1259
Зарегистрирован: Май 2004
Географическое положение: Vladivostok, IACP FEBRAS
Senior Member

Сегодня наблюдал еще один источник DOS . Сеть 186.2.165.0/24 (DDoS-Guard.net) при поддержке китайских товарищей.
Помимо банального накидывания БОЛЬШОГО числа DNS-запросов всем DNS-ам, товарисч просит открытые DNS-ы отрезолвить
a.packetdevil.com . Ответ , как можно догадаться, довольно длинный.

Источник атаки, опять, выглядит как фирма, борющаяся с DDos-ами. Увы, но адреса 186.2.165.0 могут быть и подставленными.
Для проведения атаки не нужно устанавливать соединение и получать ответ от объекта.
Предыдущая тема: 23/08/2013 10:01-11:28 было отключено электропитание в к.А ДВФУ.
Следующая тема: Семинар НЭИКОН во Владивостоке
Переход к форуму:
  


Текущее время: Чт авг 06 17:08:13 +10 2020

Общее время, затраченное на создание страницы: 0.00888 секунд