Всем привет. Есть два вопроса. Первый: не DoSят ли в этот прекрасный, гм, мартовский день кого-то, кроме нас, на предмет DNS-обращений за A-записью некоего 'warlog.info'? Выглядит это примерно так: 12:49:12.160336 164.128.36.34.44045 > 193.41.160.2.53: 1151 A? warlog.info. (29) (DF) [tos 0x28] 12:49:12.160998 208.204.150.180.62395 > 193.41.160.2.53: 60371 [1au] A? warlog.info. (40) (DF) [tos 0x28] 12:49:12.161189 217.118.84.9.3815 > 193.41.160.2.53: 5156 A? warlog.info. (29) [tos 0x28] 12:49:12.161660 81.29.237.225.1041 > 193.41.160.2.53: 9380 [1au] A? warlog.info. (40) [tos 0x28] Второй: какие могут быть методы борьбы с данным явлением? Пока придумал только заставить bind отправлять в /dev/null все подобные запросы, впрочем, пока не до конца уверен, что этого можно добиться от 8.3.4-REL-p1 (сейчас буду читать документацию, конечно ж). Заранее благодарен всем, кто может что-то подсказать. -- V.Melnik =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 18, 2005 at 12:55:03PM +0200, Vladimir Melnik wrote:
Всем привет.
Есть два вопроса.
Первый: не DoSят ли в этот прекрасный, гм, мартовский день кого-то, кроме нас, на предмет DNS-обращений за A-записью некоего 'warlog.info'? Выглядит это примерно так:
12:49:12.160336 164.128.36.34.44045 > 193.41.160.2.53: 1151 A? warlog.info. (29) (DF) [tos 0x28] 12:49:12.160998 208.204.150.180.62395 > 193.41.160.2.53: 60371 [1au] A? warlog.info. (40) (DF) [tos 0x28] 12:49:12.161189 217.118.84.9.3815 > 193.41.160.2.53: 5156 A? warlog.info. (29) [tos 0x28] 12:49:12.161660 81.29.237.225.1041 > 193.41.160.2.53: 9380 [1au] A? warlog.info. (40) [tos 0x28]
По воизу зону у Вас , какие могут быть вопросы ? $ dig warlog.info ns P.S. правда ее у Вас на сервере нет , но это уже другой вопрос :)
Второй: какие могут быть методы борьбы с данным явлением? Пока придумал только заставить bind отправлять в /dev/null все подобные запросы, впрочем, пока не до конца уверен, что этого можно добиться от 8.3.4-REL-p1 (сейчас буду читать документацию, конечно ж).
Заранее благодарен всем, кто может что-то подсказать.
-- V.Melnik
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- ------------------------------------------------------------------------------- Vasiliy P. Melnik | nic-hdl : VPM-RIPE, VPM-UANIC Global Ukraine ISP | phone : +380(44)2444211 basil@gu.net | phone : +380(44)2444021 =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 18, 2005 at 12:55:03PM +0200, Vladimir Melnik wrote:
Всем привет.
Есть два вопроса.
Первый: не DoSят ли в этот прекрасный, гм, мартовский день кого-то, кроме нас, на предмет DNS-обращений за A-записью некоего 'warlog.info'? Выглядит это примерно так:
12:49:12.160336 164.128.36.34.44045 > 193.41.160.2.53: 1151 A? warlog.info. (29) (DF) [tos 0x28] 12:49:12.160998 208.204.150.180.62395 > 193.41.160.2.53: 60371 [1au] A? warlog.info. (40) (DF) [tos 0x28] 12:49:12.161189 217.118.84.9.3815 > 193.41.160.2.53: 5156 A? warlog.info. (29) [tos 0x28] 12:49:12.161660 81.29.237.225.1041 > 193.41.160.2.53: 9380 [1au] A? warlog.info. (40) [tos 0x28]
Второй: какие могут быть методы борьбы с данным явлением? Пока придумал только заставить bind отправлять в /dev/null все подобные запросы, впрочем, пока не до конца уверен, что этого можно добиться от 8.3.4-REL-p1 (сейчас буду читать документацию, конечно ж).
Заранее благодарен всем, кто может что-то подсказать.
у меня была подобная ситуация на secondary.net.ua maxim@geddar:~>nslookup -q=ns warlog.info Server: geddar-gw.km.ua Address: 62.149.10.17 *** geddar-gw.km.ua can't find warlog.info: Non-existent host/domain maxim@geddar:~>whois warlog.info | grep "Name Server" Name Server:NS.SILVER.COM.UA Name Server:NS.MIROTEL.NET Name Server:NS2.MIROTEL.NET maxim@geddar:~>nslookup NS.SILVER.COM.UA Server: geddar-gw.km.ua Address: 62.149.10.17 Non-authoritative answer: Name: NS.SILVER.COM.UA Address: 193.41.160.2 вот тебе причина. домен стоит как-то .... ненормально. и клиенты в миру дуреют. возможно это связано с рассылкой спама с этого домена. в свое время я наехал на регистратора и регистранта, чтобы вынесли из всех записей о домене (не только файл домена, но и whois, и чистка домена верхнего уровня), и через сутки примерно запросы прекратились. -- Maxim Mazurok (MMP2-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 18, 2005 at 01:27:34PM +0200, Maxim Mazurok wrote:
вот тебе причина. домен стоит как-то .... ненормально. и клиенты в миру дуреют. возможно это связано с рассылкой спама с этого домена. в свое время я наехал на регистратора и регистранта, чтобы вынесли из всех записей о домене (не только файл домена, но и whois, и чистка домена верхнего уровня), и через сутки примерно запросы прекратились.
О! Благодарю. В whois-то я и не посмотрел, если честно. Но лупят со всей дури с утра: несколько сотен запросов в секунду приходит аж бегом, притом, ясное дело, с разных хостов. Впечатление такое, что всё-таки червяк какой-то сегодня активизировался. Благодарю за советы. Сейчас, совместно с "Миротелом", попробуем поторбить регистратора. -- V.Melnik =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 18, 2005 at 02:00:40PM +0200, Vladimir Melnik wrote:
вот тебе причина. домен стоит как-то .... ненормально. и клиенты в миру дуреют. возможно это связано с рассылкой спама с этого домена. в свое время я наехал на регистратора и регистранта, чтобы вынесли из всех записей о домене (не только файл домена, но и whois, и чистка домена верхнего уровня), и через сутки примерно запросы прекратились.
О! Благодарю. В whois-то я и не посмотрел, если честно.
Но лупят со всей дури с утра: несколько сотен запросов в секунду приходит аж бегом, притом, ясное дело, с разных хостов. Впечатление такое, что всё-таки червяк какой-то сегодня активизировался.
ага, у меня тогда плотность запросов была такая, что аплинки секондари волноваться начали.
Благодарю за советы. Сейчас, совместно с "Миротелом", попробуем поторбить регистратора.
-- Maxim Mazurok (MMP2-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 18, 2005 at 01:29:48PM +0200, Vasiliy P. Melnik wrote:
По воизу зону у Вас , какие могут быть вопросы ?
$ dig warlog.info ns
P.S. правда ее у Вас на сервере нет , но это уже другой вопрос :)
Это не другой вопрос - если не отдать, чего спрашивают, то получите шквал (нда, вот оно, отсутствие потустороннего опыта технических решений;) ). То есть - чего и имеете. Решение в /dev/null отправлять - технически неправильное. Правильное оно только с точки зрения не-попадания во всякие RBL за spam support, но и то - не всегда :-|. Короче - правильное решение - отдавать ответ с офигенным TTL и каким-нить 127.0.0.1. Бо для "не всегда" запросы должны выглядеть по-другому и другие "характерные" особенности. -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 18, 2005 at 09:14:34PM +0200, Paul Arakelyan wrote:
On Fri, Mar 18, 2005 at 01:29:48PM +0200, Vasiliy P. Melnik wrote:
По воизу зону у Вас , какие могут быть вопросы ?
$ dig warlog.info ns
P.S. правда ее у Вас на сервере нет , но это уже другой вопрос :)
Это не другой вопрос - если не отдать, чего спрашивают, то получите шквал (нда, вот оно, отсутствие потустороннего опыта технических решений;) ). То есть - чего и имеете. Решение в /dev/null отправлять - технически неправильное. Правильное оно только с точки зрения не-попадания во всякие RBL за spam support, но и то - не всегда :-|.
Короче - правильное решение - отдавать ответ с офигенным TTL и каким-нить 127.0.0.1. Бо для "не всегда" запросы должны выглядеть по-другому и другие "характерные" особенности.
спрашивалось что ? спрашивалось - почему много запросов $ dig warlog.info ns или это был не ответ ? и чем решение 127.0.0.1 отличается от /dev/null ? Ведь гораздо проще разобраться в чем проблема, для этого в соа-записи как раз и вписан е-mail администратора домена, чтобы решать проблемы. а носить в дождь солнцезащитные очки только потому, что не заливает глаза - глупо. Помогает, но как-то суше от этого не становится.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- ------------------------------------------------------------------------------- Vasiliy P. Melnik | nic-hdl : VPM-RIPE, VPM-UANIC Global Ukraine ISP | phone : +380(44)2444211 basil@gu.net | phone : +380(44)2444021 =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 18, 2005 at 02:00:40PM +0200, Vladimir Melnik wrote:
On Fri, Mar 18, 2005 at 01:27:34PM +0200, Maxim Mazurok wrote:
О! Благодарю. В whois-то я и не посмотрел, если честно.
Но лупят со всей дури с утра: несколько сотен запросов в секунду "Со всей дури" виденное мной - это 300KBytes/s incoming requests, последствие дропанья ответов для нескольких RIPE /8.
приходит аж бегом, притом, ясное дело, с разных хостов. Впечатление такое, что всё-таки червяк какой-то сегодня активизировался. Даже один хреново настроенный сервер такое может запросто устроить.
Благодарю за советы. Сейчас, совместно с "Миротелом", попробуем поторбить регистратора. Попытайте счастья в гугле и groups.google.com, поинтересуйтесь у spamcop.net (у них форум есть) не замечалось ли чего-то связанного с тем доменом - в итоге можно рискнуть умудриться домен забрать...
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 18, 2005 at 11:01:15PM +0200, Vasiliy P. Melnik wrote:
On Fri, Mar 18, 2005 at 09:14:34PM +0200, Paul Arakelyan wrote:
Короче - правильное решение - отдавать ответ с офигенным TTL и каким-нить 127.0.0.1. Бо для "не всегда" запросы должны выглядеть по-другому и другие "характерные" особенности.
спрашивалось что ? спрашивалось - почему много запросов $ dig warlog.info ns или это был не ответ ? Почему - разбираться можно потом. На спам с этим во from: похоже мало, если MX'ы активно не спрашивают. Возможные варианты (кроме трояна) - какой-нить img src="http://domain/.." в письмах со спамом или каких-нить раскрутчиках. Короче - я бы поставил свой IP с сендмылом/httpd - и посмотрел чего хотят. и чем решение 127.0.0.1 отличается от /dev/null ? Ведь гораздо проще Тем, что шквал закончится. 127.0.0.1 можно замеить на чего захочется - нужно просто дать ответ, который удовлетворит "ту" сторону и указать TTL в день-неделю-.... Часа через три станет легче (вообще-то зависит от толщины каналов тоже...). Я знаю, о чём говорю - у меня большой опыт широкомасштабных полевых DNS-извращений.
разобраться в чем проблема, для этого в соа-записи как раз и вписан е-mail администратора домена, чтобы решать проблемы. Если это что-то связанное со спамом или каким-нить трояном - то мало пользы от той инфы, как правило. Если в whois фигня написана - можно давить в регистратора - это реально повод забрать домен.
а носить в дождь солнцезащитные очки только потому, что не заливает глаза - глупо. Помогает, но как-то суше от этого не становится. Моё решение - эт скорее очки размером с зонтик :). Сухо - но носить неудобно и одевать долго.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (4)
-
Maxim Mazurok -
Paul Arakelyan -
Vasiliy P. Melnik -
Vladimir Melnik