Кэширующий DNS на интерфейсе ppp0 и на локалхост: жук или DDoS ?
Привет.
Настроил кэширующий DNS сервер на localhost. Вроде работает нормально
(за исключение того что после разъединения от интернета, не сохраняются
IP адреса в кэшэ), но на текущем интернет-сеансе работает. Посмотрел
список открытых портов, получил такую картину:
PORT STATE SERVICE
25/tcp open smtp
53/tcp open domain
111/tcp open rpcbind
113/tcp open auth
953/tcp open rndc
2628/tcp open dict
затем вышел в инет, решил посмотреть список открытых портом на
интерфейсе ppp0 (модем), и там была такая картина:
PORT STATE SERVICE
25/tcp open smtp
111/tcp open rpcbind
113/tcp open auth
2628/tcp open dict
Я подумал, а почему на интерфейсе ppp0 не работает DNS (а только именно
на локалхост)? И затем решил добавить такие строчки в файл конфигурации
суперсервера /etc/inetd.conf:
domain stream tcp nowait root /usr/sbin/tcpd /usr/sbin/named
domain dgram udp nowait root /usr/sbin/tcpd /usr/sbin/named
Перезапустил inetd командой killal -HUP inetd
Затем снова вышел в инет. На интерфейсе ppp0 увидел открытый 53 порт.
Обрадовался.
Через 10 минут работы в интернете, обнаружил что указатель мыши не
реагирует на движение (или реагирует но плохо). Программы зависать
стали. Я посмотрел состояние запущенных процессов командой ps -A | more
и увидел такую картину:
4288 ? named
4289 ? named
4290 ? named
4291 ? named
ну и так далее. Короче было около тысячи экземпляров этого named . :-D
Я сразу понял что надо восстановить конфигурацию inetd и перезапустить
inetd и bind.
Произошло переполнение памяти. :-(
Но вот только логически объяснить этот феномен не смог. :-( Это был жук
(bug) или DDoS? Или чудо какое то? ;-)
Reply to: