Re: "usilio" DNS flood
Si amb iptables no ho pots bloquejar... només et queda el recurs de
parlar amb el teu proiveidor. Però sent una connexió casolana dubto que
et pugui fer quelcom...
--
Jaume Sabater
En/na Lluís Gras ha escrit:
> I la regla iptables que comentes ja l'havia emprat però com la ip està
> spoofejada no te un efecte pràctic, almenys jo no veig que faci res.
>
> El 11 d’agost de 2010 14:59, Lluís Gras <lluis.gras@gmail.com
> <mailto:lluis.gras@gmail.com>> ha escrit:
>
> Hola.
>
> Ara ja se quin Jaume ets ;-)
>
> A les definicions de zona de la vista "internet" hi tinc:
>
>
> zone "serni.net <http://serni.net>"{
> type master;
> file "/etc/bind/serni.net.hosts";
> allow-transfer {
> 202.157.182.142; #un secondary a twisted4life.com
> <http://twisted4life.com>
> };
> allow-query { any; };
> };
>
>
> zone "227.48.85.in-addr.arpa"{
> type master;
> file "/etc/bind/85.48.227.rev";
> allow-query { any; };
> notify no;
> };
>
> El 11 d’agost de 2010 14:47, Jaume Sabater <jaume@argus.net
> <mailto:jaume@argus.net>> ha escrit:
>
> Home, en Jaume Sabater de linuxsilo.net <http://linuxsilo.net>
> no soc jo :P
>
> Jo sóc en Jaume Sabater d'Argus, de Badalona.
>
> Tal i com tens les "options", ho tens correcte. Només que quan
> declaris
> la zona del teu domini has de fer algo com:
>
> zone "meudomini.cat <http://meudomini.cat>" {
> type master;
> allow-query {0.0.0.0/0; <http://0.0.0.0/0;>};
> file "/var/named......";
> };
>
> Per altra banda, si t'estan fent un DOS ho podras capar amb
> iptables,
>
> iptables -I INPUT -p udp --dport 53 -s IP.que.et.matxaca -j DROP
>
> Però no podràs evitar que et saturi el "canuto d'entrada"
> abans de les
> iptables. Si l'atac és DDOS poca cosa hi podràs fer.
> --
> Jaume Sabater
>
> En/na Lluís Gras ha escrit:
> > Hola Jaume
> >
> > El meu DNS el vaig configurar fa la tira seguint el "com"
> que hi havia
> > a linuxsilo.net <http://linuxsilo.net>
> <http://linuxsilo.net>, com que hi ha dos Jaumes
> > Sabaters a la llista no se si ets tu l'autor, llavors aprofito i
> > comento que tinc un parell de "vistes" i que al meu
> > /etc/bind/named.conf.options hi tinc:
> >
> > options {
> > directory "/var/cache/bind";
> > # query-source address * port 53;
> > query-source address * port *;
> > # allow-query { any; };
> > allow-query { 192.168.1.0/24 <http://192.168.1.0/24>
> <http://192.168.1.0/24>;
> > localhost; };
> > version "Hola Tronks !!!";
> > auth-nxdomain no; # conform to RFC1035
> > };
> >
> > Però les directives que em dius, les he d'entaforar a les
> > corresponents "views", oi?
> >
> > Gràcies :)
> > El 11 d’agost de 2010 12:40, Jaume Sabater <jaume@argus.net
> <mailto:jaume@argus.net>
> > <mailto:jaume@argus.net <mailto:jaume@argus.net>>> ha escrit:
> >
> > Suposo que el teu DNS casolà només respon peticions DNS
> de dominis que
> > no tens per a les IPs que tu vols, oi?
> >
> > Recorda:
> >
> > Dominis que tens: "allow-query { 0.0.0.0/0
> <http://0.0.0.0/0> <http://0.0.0.0/0>; };"
> >
> > Dominis que no tens: "allow-query { 127.0.0.0/8
> <http://127.0.0.0/8>
> > <http://127.0.0.0/8>; una.ip.meva/32;
> > una.altra.ip.meva/32; };"
> > --
> > Jaume Sabater
> >
> > En/na Lluís Gras ha escrit:
> > > Bones gent
> > >
> > > Des de fa uns dies estic gaudint d'un atac de DNS
> flood ( o com
> > es digui )
> > >
> > > A http://www.liveipmap.com/109.72.146.154-1-0.html hom
> hi pot
> > > comprovar que no sóc l'únic.
> > >
> > > El cas és que el dns primari del meu domini està a
> casa meva i el
> > > pobrissó no aguanta la manta de consultes que li estan
> demanant, amb
> > > lo que d'altres peticions exteriors fracassen. He
> intentat bloquejar
> > > amb iptables i amb routing null la ip des d'on
> aparentment provenen
> > > els atacs però pel que sembla la ip en qüestió està
> spoofejada i la
> > > cosa no funciona.
> > >
> > > Hi ha alguna manera d'acabar amb aquest malson, o tan sols
> > tractaments
> > > "paliatius"?
> > >
> > > Un cop de ma o de peu m'aniria de conya.
> > >
> > >
> >
> >
>
>
>
Reply to: