mr.Dream 164 Posted 2010-10-27 20:08:02 Share Posted 2010-10-27 20:08:02 Сьогодні на протягом приблизно години був жертвою атаки на ДНС. Дзвонили клієнти, жалілись на "тугий" нтернет, сторінки відкривались через раз. Спочатку не міг зрозуміти в чому суть, потім розібрався. Проте було вже пізно - атака щезла, все нормалізувалось, а запис логівДНС включити не встиг Лише потім знайшов помилки в логах що переповнена таблиця кешування ДНС запитів. Дана трабла вилізла вперше за 4 роки, і безслідно зникла. Атака була зсередини, так як ззовні немає доступу. Новий вірус? Починаю боятись ) Link to post Share on other sites
nightfly 1,252 Posted 2010-10-27 21:55:17 Share Posted 2010-10-27 21:55:17 вірусня-вірусня, якшо allow-query { someacl нормально виставлені Link to post Share on other sites
mr.Dream 164 Posted 2010-10-27 23:59:32 Author Share Posted 2010-10-27 23:59:32 Попутно глянув в кеш ДНС і офігів )) Таке враження, що весь інтернет - це вконтакті )) [size="1"]02:28:25 93.186.235.125 cs1584.vkontakte.ru 02:22:00 93.186.238.164 cs4449.vkontakte.ru 02:26:48 87.240.189.153 cs10284.vkontakte.ru 02:21:51 93.186.228.223 cs9333.vkontakte.ru 02:19:51 87.240.190.65 cs10196.vkontakte.ru 02:26:50 93.186.228.16 cs936.vkontakte.ru 02:26:50 87.240.188.53 cs10520.vkontakte.ru 02:26:13 87.240.188.82 cs10549.vkontakte.ru 02:27:23 93.186.228.233 cs9343.vkontakte.ru 02:26:29 93.186.239.49 cs4145.vkontakte.ru 02:17:47 95.142.200.74 cs12362.vkontakte.ru 02:26:22 93.186.228.123 cs9235.vkontakte.ru 02:25:40 93.186.230.160 cs9686.vkontakte.ru 02:25:54 93.186.227.197 cs797.vkontakte.ru 02:28:58 95.142.202.130 cs12830.vkontakte.ru 02:25:05 87.240.185.154 cs11284.vkontakte.ru 02:26:58 93.186.227.65 cs555.vkontakte.ru 02:25:02 93.186.228.60 cs980.vkontakte.ru 02:19:59 87.240.187.216 cs10875.vkontakte.ru 02:26:22 87.240.188.175 cs10642.vkontakte.ru 02:26:13 93.186.229.10 cs9390.vkontakte.ru 00:13:27 95.142.194.248 v507.vkadre.ru 02:25:36 87.240.190.94 cs10225.vkontakte.ru 02:26:58 93.186.229.235 cs9635.vkontakte.ru 02:24:45 93.186.228.202 cs9312.vkontakte.ru 02:25:36 95.142.202.191 cs12891.vkontakte.ru 02:16:06 93.186.238.96 cs4381.vkontakte.ru 02:18:20 93.186.229.91 cs9471.vkontakte.ru 02:28:33 95.142.202.53 cs12753.vkontakte.ru 02:25:05 87.240.190.70 cs10201.vkontakte.ru 02:11:32 95.142.202.178 cs12878.vkontakte.ru 02:26:13 93.186.235.60 cs1499.vkontakte.ru 02:27:01 95.142.201.28 cs12440.vkontakte.ru 02:01:16 93.186.237.161 cs4537.vkontakte.ru 02:18:04 93.186.227.70 cs560.vkontakte.ru 02:24:50 93.186.228.122 cs9234.vkontakte.ru 02:27:01 93.186.228.74 cs994.vkontakte.ru 02:27:09 93.186.228.14 cs934.vkontakte.ru 02:23:54 87.240.191.78 cs10094.vkontakte.ru 00:11:04 95.142.195.90 v545.vkadre.ru 02:25:02 93.186.230.141 cs9667.vkontakte.ru 00:10:49 95.142.194.220 492.gt3.vkadre.ru 02:18:23 93.186.229.147 cs9547.vkontakte.ru 02:26:22 93.186.230.181 cs9707.vkontakte.ru 02:26:07 93.186.230.189 cs9715.vkontakte.ru 00:13:31 95.142.192.86 86.gt2.vkadre.ru 02:18:07 93.186.239.76 cs4172.vkontakte.ru 02:17:23 95.142.200.42 cs12330.vkontakte.ru 00:13:59 95.142.192.202 202.gt2.vkadre.ru 02:26:50 93.186.239.66 cs4162.vkontakte.ru 00:13:59 95.142.195.40 v531.vkadre.ru 02:26:58 87.240.190.26 cs10157.vkontakte.ru 00:08:10 95.142.195.94 v549.vkadre.ru 00:03:32 95.142.194.221 493.gt3.vkadre.ru 02:26:50 87.240.184.31 cs11401.vkontakte.ru 02:26:04 95.142.201.41 cs12453.vkontakte.ru 02:18:57 93.186.230.38 cs9817.vkontakte.ru 02:25:52 93.186.238.157 cs4442.vkontakte.ru [/size] Коли ресурс падав - дзвонять і задолбують шо не робить нет Гляжу - від народу пакети ходять... та й пояснюю шо мол все працює у вас... а вони: а шо може бути таке, що скайп працює, а вконтакти зайти не годен?)) А саме важче, пояснити, шо когнтаґтєґ в росії... коли народ живе в тернополі ) Link to post Share on other sites
Losth 2 Posted 2010-10-28 01:52:35 Share Posted 2010-10-28 01:52:35 в нас теж днска лагала, годину тому Link to post Share on other sites
BUM 245 Posted 2010-10-28 07:05:48 Share Posted 2010-10-28 07:05:48 Может кому пригодиться # cat dns_ddos.sh #!/bin/bash OUTFILE="/root/DNSBLOCK" TEMPFILE="/tmp/dnsblock.tmp" # Getting new ip addresses and append them to our list cat /var/log/syslog | grep "'./NS/IN' denied" | \ awk '{ print $7 }' | cut -d "#" -f 1 | sort | uniq >> $OUTFILE # Making sure that our list has only unique addresses in it cat $OUTFILE | sort | uniq > $TEMPFILE mv $TEMPFILE $OUTFILE # cat dns_ddos_ipt.sh #!/bin/bash iptables -N DNSDROP iptables -A DNSDROP -p udp --dport 53 -j DROP iptables -A DNSDROP -p tcp --dport 53 -j DROP BLOCKLIST="/root/DNSBLOCK" for HOST in `cat $BLOCKLIST`; do iptables -A INPUT -i $EXTIF -s $HOST -j DNSDROP Link to post Share on other sites
BUM 245 Posted 2010-10-29 09:15:22 Share Posted 2010-10-29 09:15:22 + по теме: http://unixhome.org.ua/blog/security/274.html Link to post Share on other sites
muff 116 Posted 2010-10-31 22:40:29 Share Posted 2010-10-31 22:40:29 Кстати, рисовалка графиков нагрузки на ДНС-ник, если сервер под FreeBSD: Bindgraph Link to post Share on other sites
parazit 11 Posted 2010-10-31 22:41:55 Share Posted 2010-10-31 22:41:55 Не по теме но актуально #### часики на форуме по ходу не обновились то... на час назад кто их переведет Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now