Привет кто-то сталкивался в последнее время с большим потоком DNS запросов (40..90req/s), идущих от клиентов, с попытками отрезолвить преимущественно не существующие RR (результат - ServFail) ? похоже на какого-то вируса или трояна ... подобные flood-ы, идущие от десятка клиентов забивают named до 90% CPU, а dnscache достигает лимита обслуживаемых udp-сокетов вот пример: 07:26:47.463988 x.x.x.x.53 > 212.109.32.9.53: 61469+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.472189 x.x.x.x.53 > 212.109.32.9.53: 58321+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.479816 x.x.x.x.53 > 212.109.32.9.53: 35610+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.487805 x.x.x.x.53 > 212.109.32.9.53: 29221+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.495766 x.x.x.x.53 > 212.109.32.9.53: 8759+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.503929 x.x.x.x.53 > 212.109.32.9.53: 50373+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.511752 x.x.x.x.53 > 212.109.32.9.53: 65083+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.519669 x.x.x.x.53 > 212.109.32.9.53: 19788+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.527803 x.x.x.x.53 > 212.109.32.9.53: 12924+ [1au] AAAA? nets.net.pk. (40) 07:26:47.535174 x.x.x.x.53 > 212.109.32.9.53: 23021+ [1au] AAAA? nets.net.pk. (40) 07:26:47.543165 x.x.x.x.53 > 212.109.32.9.53: 42790+ [1au] A? nets.net.pk. (40) 07:26:47.551420 x.x.x.x.53 > 212.109.32.9.53: 22016+ [1au] AAAA? nets.net.pk. (40) 07:26:47.559606 x.x.x.x.53 > 212.109.32.9.53: 34973+ [1au] AAAA? nets.net.pk. (40) 07:26:47.567507 x.x.x.x.53 > 212.109.32.9.53: 1548+ [1au] AAAA? nets.net.pk. (40) 07:26:47.575554 x.x.x.x.53 > 212.109.32.9.53: 47170+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.583591 x.x.x.x.53 > 212.109.32.9.53: 64130+ [1au] AAAA? nets.net.pk. (40) 07:26:47.590856 x.x.x.x.53 > 212.109.32.9.53: 5940+ [1au] AAAA? nets.net.pk. (40) 07:26:47.598734 x.x.x.x.53 > 212.109.32.9.53: 23396+ [1au] AAAA? nets.net.pk. (40) 07:26:47.607422 x.x.x.x.53 > 212.109.32.9.53: 42058+ [1au] AAAA? nets.net.pk. (40) 07:26:47.615186 x.x.x.x.53 > 212.109.32.9.53: 64316+ [1au] AAAA? nets.net.pk. (40) 07:26:47.623431 x.x.x.x.53 > 212.109.32.9.53: 26530+ [1au] A? nets.net.pk. (40) 07:26:47.631047 x.x.x.x.53 > 212.109.32.9.53: 40459+ [1au] AAAA? nets.net.pk. (40) 07:26:47.638964 x.x.x.x.53 > 212.109.32.9.53: 16196+ [1au] AAAA? nets.net.pk. (40) 07:26:47.647043 x.x.x.x.53 > 212.109.32.9.53: 17007+ [1au] AAAA? nets.net.pk. (40) 07:26:47.654921 x.x.x.x.53 > 212.109.32.9.53: 11072+ [1au] A? nets.net.pk. (40) 07:26:47.663050 x.x.x.x.53 > 212.109.32.9.53: 47466+ [1au] AAAA? nets.net.pk. (40) 07:26:47.670925 x.x.x.x.53 > 212.109.32.9.53: 5928+ [1au] A? nets.net.pk. (40) 07:26:47.678804 x.x.x.x.53 > 212.109.32.9.53: 59100+ [1au] AAAA? nets.net.pk. (40) 07:26:47.686734 x.x.x.x.53 > 212.109.32.9.53: 56945+ [1au] AAAA? nets.net.pk. (40) 07:26:47.694702 x.x.x.x.53 > 212.109.32.9.53: 19687+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.702742 x.x.x.x.53 > 212.109.32.9.53: 9431+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.710870 x.x.x.x.53 > 212.109.32.9.53: 8694+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.718747 x.x.x.x.53 > 212.109.32.9.53: 63382+ [1au] AAAA? nets.net.pk. (40) 07:26:47.726188 x.x.x.x.53 > 212.109.32.9.53: 58946+ [1au] AAAA? nets.net.pk. (40) 07:26:47.734546 x.x.x.x.53 > 212.109.32.9.53: 47164+ [1au] A? nets.net.pk. (40) 07:26:47.742372 x.x.x.x.53 > 212.109.32.9.53: 53485+ [1au] PTR? 177.55.6.69.in-addr.arpa. (53) 07:26:47.750558 x.x.x.x.53 > 212.109.32.9.53: 33237+ [1au] PTR? 200.55.6.69.in-addr.arpa. (53) 07:26:47.758730 x.x.x.x.53 > 212.109.32.9.53: 24234+ [1au] AAAA? nets.net.pk. (40) 07:26:47.766006 x.x.x.x.53 > 212.109.32.9.53: 61989+ [1au] A? nets.net.pk. (40) пока не могу придумать чем спасаться от такого -- Dimitry Тpезвость - ноpма загpобной жизни =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello Dmitry, Friday, April 9, 2004, 10:31:42 AM, you wrote: DA> Привет DA> кто-то сталкивался в последнее время с большим потоком DNS запросов (40..90req/s), DA> идущих от клиентов, с попытками отрезолвить преимущественно не существующие RR DA> (результат - ServFail) ? root servers :) DA> похоже на какого-то вируса или трояна ... DA> подобные flood-ы, идущие от десятка клиентов забивают named до 90% CPU, а dnscache DA> достигает лимита обслуживаемых udp-сокетов DA> вот пример: [dd] DA> 07:26:47.758730 x.x.x.x.53 > 212.109.32.9.53: 24234+ [1au] AAAA? nets.net.pk. (40) DA> 07:26:47.766006 x.x.x.x.53 > 212.109.32.9.53: 61989+ [1au] A? nets.net.pk. (40) ----------------^^^^^^^^^^^^ откуда стреляют? Забугор/UA-IX/что-то еще? DA> пока не могу придумать чем спасаться от такого Маловато информации для анализа. В email, чтобы здесь не шуметь? -- С уважением, Борис Мостовой ООО "Хостмастер" +380(44)244-1199(ext305) +380(44)451-7456 http://nic.net.ua http://www.hostmaster.net.ua http://forum.hostmaster.net.ua -- Best regards, boris mailto:vms@tormoz.net =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Apr 09, 2004 at 11:17:30AM +0300, boris mostovoy wrote:
DA> кто-то сталкивался в последнее время с большим потоком DNS запросов (40..90req/s), DA> идущих от клиентов, с попытками отрезолвить преимущественно не существующие RR DA> (результат - ServFail) ? root servers :)
у меня было. на secondary.net.ua. и вчера вдарило по колокольне. у меня был просто огромный поток реквестов. причем с одного IP и абсолютно безсмысленный, ибо поток шел на нерекурсивный намед. намеду плохо не стало, но пришлось на раутере этот IP закрыть, а то ответов шло очень много, и это жрало полосу сильно. что было у колокольни - расскажет сама колокольня :)
DA> похоже на какого-то вируса или трояна ...
DA> подобные flood-ы, идущие от десятка клиентов забивают named до 90% CPU, а dnscache DA> достигает лимита обслуживаемых udp-сокетов
DA> вот пример: [dd] DA> 07:26:47.758730 x.x.x.x.53 > 212.109.32.9.53: 24234+ [1au] AAAA? nets.net.pk. (40) DA> 07:26:47.766006 x.x.x.x.53 > 212.109.32.9.53: 61989+ [1au] A? nets.net.pk. (40) ----------------^^^^^^^^^^^^
откуда стреляют? Забугор/UA-IX/что-то еще?
по мне било с германии.
DA> пока не могу придумать чем спасаться от такого
Маловато информации для анализа. В email, чтобы здесь не шуметь?
Мостовой, оно похоже какое-то дурноватое. на планомерную атаку по одному клиенту не похоже. какой-то пацан решил насобирать какую-то базу, причем несколько... безграмотно. но каналы у пацана толстые, и машины мощные. -- Maxim Mazurok (MMP2-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Apr 09, 2004 at 11:53:51AM +0300, Maxim Mazurok wrote:
у меня было. на secondary.net.ua. и вчера вдарило по колокольне. у меня был просто огромный поток реквестов. причем с одного IP и абсолютно безсмысленный, ибо поток шел на нерекурсивный намед. намеду плохо не стало, но пришлось на раутере этот IP закрыть, а то ответов шло очень много, и это жрало полосу сильно. что было у колокольни - расскажет сама колокольня :)
Поток запросов. Жирный. С _разных_ ip. named отжирал все ресурсы на не самой слабой машине примерно через секунд 30-40 после того, как начинал обрабатывать этот поток запросов. Через какое-то время запросы к неймеду прекратились, но продолжали улетать дальше через один из "украинских" раутеров.
-- Maxim Mazurok (MMP2-RIPE)
-- Andrey Elperin =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Friday 09 April 2004 12:10, Andrey Elperin wrote:
On Fri, Apr 09, 2004 at 11:53:51AM +0300, Maxim Mazurok wrote:
у меня было. на secondary.net.ua. и вчера вдарило по колокольне. у меня был просто огромный поток реквестов. причем с одного IP и абсолютно безсмысленный, ибо поток шел на нерекурсивный намед. намеду плохо не стало, но пришлось на раутере этот IP закрыть, а то ответов шло очень много, и это жрало полосу сильно. что было у колокольни - расскажет сама колокольня :)
Поток запросов. Жирный. С _разных_ ip. named отжирал все ресурсы на не самой слабой машине примерно через секунд 30-40 после того, как начинал обрабатывать этот поток запросов. Через какое-то время запросы к неймеду прекратились, но продолжали улетать дальше через один из "украинских" раутеров.
у нас этот поток периодически льется от наших LL-клиентов. иногда в нерабочее время :-) сильный поток с всегда "тяжелыми" запросами (не поддающимися кешированию) варианты защиты ? -- Dimitry Здоpовых людей нет. Есть те, котоpых не лечили. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello Maxim, Friday, April 9, 2004, 11:53:51 AM, you wrote:
откуда стреляют? Забугор/UA-IX/что-то еще?
MM> по мне било с германии. через кого-то конкретного или по дефолтам приезжало?
DA> пока не могу придумать чем спасаться от такого
Маловато информации для анализа. В email, чтобы здесь не шуметь?
MM> Мостовой, оно похоже какое-то дурноватое. на планомерную атаку по одному MM> клиенту не похоже. какой-то пацан решил насобирать какую-то базу, причем MM> несколько... безграмотно. но каналы у пацана толстые, и машины мощные. Ну не самые же толстые, да? Пургу вполне может гнать взбесившийся гамерский виндюк с трояном - без всякого желания хозяина.. Впрочем - при выяснении причин (и возможном щемлении закаканца) толщина его каналов рояли не играет. Далее - не факт, что это опять не вариант "червивых" развлечений. Сейчас очень толковые гадости научились делать, прямо кластерами клопы атакуют. В общем, о подобном прошу немедленно сообщать email - особенно о случаях подобной стрельбы в пределах Украины - надо такие ?атаки? разбирать и анализировать локально-неофициальным CERT'ом. Естественно, докапываясь и до первоисточников и до причин. В Украине можно найти адекватных админов для разбора полетов практически в любой области/районе - чтобы глазами посмотреть на источник. -- С уважением, Борис Мостовой ООО "Хостмастер" +380(44)244-1199(ext305) +380(44)451-7456 http://nic.net.ua http://www.hostmaster.net.ua http://forum.hostmaster.net.ua -- Best regards, boris mailto:vms@tormoz.net =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Friday 09 April 2004 14:25, boris mostovoy wrote: [skip]
В общем, о подобном прошу немедленно сообщать email - особенно о случаях подобной стрельбы в пределах Украины - надо такие ?атаки? разбирать и анализировать локально-неофициальным CERT'ом. Естественно, докапываясь и до первоисточников и до причин. В Украине можно найти адекватных админов для разбора полетов практически в любой области/районе - чтобы глазами посмотреть на источник.
кстати, идея UA-CERT -- идея правильная давно пора -- Dimitry Быстpо поедешь - тихо понесут =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Apr 09, 2004 at 11:53:51AM +0300, Maxim Mazurok wrote:
On Fri, Apr 09, 2004 at 11:17:30AM +0300, boris mostovoy wrote:
откуда стреляют? Забугор/UA-IX/что-то еще?
по мне било с германии. А у нас вообще в кастомера валится - но они там кажись как-то раз наконфигурили public resolver...
Маловато информации для анализа. В email, чтобы здесь не шуметь?
Мостовой, оно похоже какое-то дурноватое. на планомерную атаку по одному клиенту не похоже. какой-то пацан решил насобирать какую-то базу, причем несколько... безграмотно. но каналы у пацана толстые, и машины мощные. Я подобную проблему решил, когда в меня что-то из италии ломилось, взяв ламериканский dialup и открыв два вагона коннектов telnet'ом по открытым портам - у меня памяти оказалось больше ;P, флуд исчезнул. А каналы сейчас всюду толстые и дешёвые, окромя как тут :(.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Apr 09, 2004 at 12:33:54PM +0300, Dmitry Alyabyev wrote:
On Friday 09 April 2004 12:10, Andrey Elperin wrote:
On Fri, Apr 09, 2004 at 11:53:51AM +0300, Maxim Mazurok wrote:
у меня было. на secondary.net.ua. и вчера вдарило по колокольне. у меня был просто огромный поток реквестов. причем с одного IP и абсолютно безсмысленный, ибо поток шел на нерекурсивный намед. намеду плохо не стало, но пришлось на раутере этот IP закрыть, а то ответов шло очень много, и это жрало полосу сильно. что было у колокольни - расскажет сама колокольня :)
Поток запросов. Жирный. С _разных_ ip. named отжирал все ресурсы на не самой слабой машине примерно через секунд 30-40 после того, как начинал обрабатывать этот поток запросов. Через какое-то время запросы к неймеду прекратились, но продолжали улетать дальше через один из "украинских" раутеров.
у нас этот поток периодически льется от наших LL-клиентов. иногда в нерабочее время :-) сильный поток с всегда "тяжелыми" запросами (не поддающимися кешированию) варианты защиты ? deny incoming dns requests to clients. А то обычно они открытый dns оставляют - и он по идее в какие-то листы попадает (идея пару+ лет назад была реализована в спамвари - списки публичных резолверов ложились в файл и далее понятно чего и зачем.)
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (5)
-
Andrey Elperin -
boris mostovoy -
Dmitry Alyabyev -
Maxim Mazurok -
Paul Arakelyan