On Fri, Apr 09, 2004 at 11:17:30AM +0300, boris mostovoy wrote:
DA> кто-то сталкивался в последнее время с большим потоком DNS запросов (40..90req/s), DA> идущих от клиентов, с попытками отрезолвить преимущественно не существующие RR DA> (результат - ServFail) ? root servers :)
у меня было. на secondary.net.ua. и вчера вдарило по колокольне. у меня был просто огромный поток реквестов. причем с одного IP и абсолютно безсмысленный, ибо поток шел на нерекурсивный намед. намеду плохо не стало, но пришлось на раутере этот IP закрыть, а то ответов шло очень много, и это жрало полосу сильно. что было у колокольни - расскажет сама колокольня :)
DA> похоже на какого-то вируса или трояна ...
DA> подобные flood-ы, идущие от десятка клиентов забивают named до 90% CPU, а dnscache DA> достигает лимита обслуживаемых udp-сокетов
DA> вот пример: [dd] DA> 07:26:47.758730 x.x.x.x.53 > 212.109.32.9.53: 24234+ [1au] AAAA? nets.net.pk. (40) DA> 07:26:47.766006 x.x.x.x.53 > 212.109.32.9.53: 61989+ [1au] A? nets.net.pk. (40) ----------------^^^^^^^^^^^^
откуда стреляют? Забугор/UA-IX/что-то еще?
по мне било с германии.
DA> пока не могу придумать чем спасаться от такого
Маловато информации для анализа. В email, чтобы здесь не шуметь?
Мостовой, оно похоже какое-то дурноватое. на планомерную атаку по одному клиенту не похоже. какой-то пацан решил насобирать какую-то базу, причем несколько... безграмотно. но каналы у пацана толстые, и машины мощные. -- Maxim Mazurok (MMP2-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message