On Fri, Mar 18, 2005 at 12:55:03PM +0200, Vladimir Melnik wrote:
Всем привет.
Есть два вопроса.
Первый: не DoSят ли в этот прекрасный, гм, мартовский день кого-то, кроме нас, на предмет DNS-обращений за A-записью некоего 'warlog.info'? Выглядит это примерно так:
12:49:12.160336 164.128.36.34.44045 > 193.41.160.2.53: 1151 A? warlog.info. (29) (DF) [tos 0x28] 12:49:12.160998 208.204.150.180.62395 > 193.41.160.2.53: 60371 [1au] A? warlog.info. (40) (DF) [tos 0x28] 12:49:12.161189 217.118.84.9.3815 > 193.41.160.2.53: 5156 A? warlog.info. (29) [tos 0x28] 12:49:12.161660 81.29.237.225.1041 > 193.41.160.2.53: 9380 [1au] A? warlog.info. (40) [tos 0x28]
Второй: какие могут быть методы борьбы с данным явлением? Пока придумал только заставить bind отправлять в /dev/null все подобные запросы, впрочем, пока не до конца уверен, что этого можно добиться от 8.3.4-REL-p1 (сейчас буду читать документацию, конечно ж).
Заранее благодарен всем, кто может что-то подсказать.
у меня была подобная ситуация на secondary.net.ua maxim@geddar:~>nslookup -q=ns warlog.info Server: geddar-gw.km.ua Address: 62.149.10.17 *** geddar-gw.km.ua can't find warlog.info: Non-existent host/domain maxim@geddar:~>whois warlog.info | grep "Name Server" Name Server:NS.SILVER.COM.UA Name Server:NS.MIROTEL.NET Name Server:NS2.MIROTEL.NET maxim@geddar:~>nslookup NS.SILVER.COM.UA Server: geddar-gw.km.ua Address: 62.149.10.17 Non-authoritative answer: Name: NS.SILVER.COM.UA Address: 193.41.160.2 вот тебе причина. домен стоит как-то .... ненормально. и клиенты в миру дуреют. возможно это связано с рассылкой спама с этого домена. в свое время я наехал на регистратора и регистранта, чтобы вынесли из всех записей о домене (не только файл домена, но и whois, и чистка домена верхнего уровня), и через сутки примерно запросы прекратились. -- Maxim Mazurok (MMP2-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message