[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: "usilio" DNS flood



Hola.

Ara ja se quin Jaume ets ;-)

A les definicions de zona de la vista "internet" hi tinc:


zone "serni.net"{
        type master;
        file "/etc/bind/serni.net.hosts";
        allow-transfer {
                202.157.182.142; #un secondary a twisted4life.com
                };
        allow-query { any; };
        };


zone "227.48.85.in-addr.arpa"{
        type master;
        file "/etc/bind/85.48.227.rev";
        allow-query { any; };
        notify no;
        };

El 11 d’agost de 2010 14:47, Jaume Sabater <jaume@argus.net> ha escrit:
Home, en Jaume Sabater de linuxsilo.net no soc jo :P

Jo sóc en Jaume Sabater d'Argus, de Badalona.

Tal i com tens les "options", ho tens correcte. Només que quan declaris
la zona del teu domini has de fer algo com:

zone "meudomini.cat" {
   type master;
   allow-query {0.0.0.0/0;};
   file "/var/named......";
};

Per altra banda, si t'estan fent un DOS ho podras capar amb iptables,

iptables -I INPUT -p udp --dport 53 -s IP.que.et.matxaca -j DROP

Però no podràs evitar que et saturi el "canuto d'entrada" abans de les
iptables. Si l'atac és DDOS poca cosa hi podràs fer.
--
Jaume Sabater

En/na Lluís Gras ha escrit:
> Hola Jaume
>
> El meu DNS el vaig configurar fa la tira seguint el "com" que hi havia
> a linuxsilo.net <http://linuxsilo.net>, com que hi ha dos Jaumes
> Sabaters a la llista no se si ets tu l'autor, llavors aprofito i
> comento que tinc un parell de "vistes" i que al meu
> /etc/bind/named.conf.options hi tinc:
>
> options {
>         directory "/var/cache/bind";
> #        query-source address * port 53;
>         query-source address * port *;
> #       allow-query { any; };
>         allow-query { 192.168.1.0/24 <http://192.168.1.0/24>;
> localhost; };
>         version "Hola Tronks !!!";
>         auth-nxdomain no;    # conform to RFC1035
> };
>
> Però les directives que em dius, les he d'entaforar a les
> corresponents "views", oi?
>
> Gràcies :)
> El 11 d’agost de 2010 12:40, Jaume Sabater <jaume@argus.net
> <mailto:jaume@argus.net>> ha escrit:
>
>     Suposo que el teu DNS casolà només respon peticions DNS de dominis que
>     no tens per a les IPs que tu vols, oi?
>
>     Recorda:
>
>     Dominis que tens: "allow-query { 0.0.0.0/0 <http://0.0.0.0/0>; };"
>
>     Dominis que no tens: "allow-query { 127.0.0.0/8
>     <http://127.0.0.0/8>; una.ip.meva/32;
>     una.altra.ip.meva/32; };"
>     --
>     Jaume Sabater
>
>     En/na Lluís Gras ha escrit:
>     > Bones gent
>     >
>     > Des de fa uns dies estic gaudint d'un atac de DNS flood ( o com
>     es digui )
>     >
>     > A http://www.liveipmap.com/109.72.146.154-1-0.html hom hi pot
>     > comprovar que no sóc l'únic.
>     >
>     > El cas és que el dns primari del meu domini està a casa meva i el
>     > pobrissó no aguanta la manta de consultes que li estan demanant, amb
>     > lo que d'altres peticions exteriors fracassen. He intentat bloquejar
>     > amb iptables i amb routing null la ip des d'on aparentment provenen
>     > els atacs però pel que sembla la ip en qüestió està spoofejada i la
>     > cosa no funciona.
>     >
>     > Hi ha alguna manera d'acabar amb aquest malson, o tan sols
>     tractaments
>     > "paliatius"?
>     >
>     > Un cop de ma o de peu m'aniria de conya.
>     >
>     >
>
>



Reply to: