Re: Кэширующий DNS на интерфейсе ppp0 и на локалхост: жук или DDoS ?

To: debian-russian@lists.debian.org
Subject: Re: Кэширующий DNS на интерфейсе ppp0 и на локалхост: жук или DDoS ?
From: Artem Chuprina <ran@ran.pp.ru>
Date: Thu, 04 Sep 2008 10:46:20 +0400
Message-id: <28004179@wizzle.medvedkovo.ran.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <20080904172704.0b04823d@localhost> (sms's message of "Thu\, 4 Sep 2008 17\:27\:04 +1100")
References: <20080904172704.0b04823d@localhost>

sms -> debian-russian@lists.debian.org  @ Thu, 4 Sep 2008 17:27:04 +1100:

 s> Привет.
 s> Настроил кэширующий DNS сервер на localhost. Вроде работает нормально
 s> (за исключение того что после разъединения от интернета, не сохраняются
 s> IP адреса в кэшэ), но на текущем интернет-сеансе работает. Посмотрел
 s> список открытых портов, получил такую картину:
 s> PORT      STATE SERVICE
 s> 25/tcp    open  smtp
 s> 53/tcp    open  domain
 s> 111/tcp   open  rpcbind
 s> 113/tcp   open  auth
 s> 953/tcp   open  rndc
 s> 2628/tcp  open  dict

 s> затем вышел в инет, решил посмотреть список открытых портом на
 s> интерфейсе ppp0 (модем), и там была такая картина:
 s> PORT      STATE SERVICE
 s> 25/tcp    open  smtp
 s> 111/tcp   open  rpcbind
 s> 113/tcp   open  auth
 s> 2628/tcp  open  dict

 s> Я подумал, а почему на интерфейсе ppp0 не работает DNS (а только именно
 s> на локалхост)? И затем решил добавить такие строчки в файл конфигурации
 s> суперсервера /etc/inetd.conf:

 s> domain stream tcp nowait root /usr/sbin/tcpd /usr/sbin/named
 s> domain dgram udp nowait root /usr/sbin/tcpd /usr/sbin/named

 s> Перезапустил inetd командой killal -HUP inetd
 s> Затем снова вышел в инет. На интерфейсе ppp0 увидел открытый 53 порт.
 s> Обрадовался.

 s> Через 10 минут работы в интернете, обнаружил что указатель мыши не
 s> реагирует на движение (или реагирует но плохо). Программы зависать
 s> стали. Я посмотрел состояние запущенных процессов командой ps -A | more
 s> и увидел такую картину:
 s> 4288   ?    named
 s> 4289   ?    named
 s> 4290   ?    named
 s> 4291   ?    named
 s> ну и так далее. Короче было около тысячи экземпляров этого named . :-D
 s> Я сразу понял что надо восстановить конфигурацию inetd и перезапустить
 s> inetd и bind.
 s> Произошло переполнение памяти. :-(
 s> Но вот только логически объяснить этот феномен не смог. :-( Это был жук
 s> (bug) или DDoS? Или чудо какое то? ;-)

Это был "сам себе DoS".

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Юзер упорствует в хождении по граблям. Образовавшиеся шишки он считает
трудовыми мозолями. (С)энта

Reply to:

References:
- Кэширующий DNS на интерфейсе ppp0 и на локалхост: жук или DDoS ?
  - From: sms <smsdaem@mail.ru>

Prev by Date: Кэширующий DNS на интерфейсе ppp0 и на локалхост: жук или DDoS ?
Next by Date: Re: Кэширующий DNS на интерфейсе ppp0 и на локалхост: жук или DDoS ?
Previous by thread: Кэширующий DNS на интерфейсе ppp0 и на локалхост: жук или DDoS ?
Next by thread: Re: Кэширующий DNS на интерфейсе ppp0 и на локалхост: жук или DDoS ?
Index(es):
- Date
- Thread