Re: tentative de DOS sur DNS, réponses?
Le Thu, 06 Feb 2014 22:09:49 +0100
David S <ml+debian@davidsanchez.fr> a écrit:
> 1/ C'est l'attaque à la mode, avec NTP, les enfants jouent facilement
> avec hélas...
>
> 2/ Si tu sais quelles machines ont besoin du
> ntp/dns/autre_service_en_udp de ton serveur, le plus simple est de
> limiter via iptables/filter quelles ip ont le droit de causer sur les
> ports 53/123/etc, ainsi la requête ne finit pas au niveau de ton démon
> qui logue...
>
> Un article de Stéphane Bortzmeyer pour NTP :
> http://www.bortzmeyer.org/ntp-reflexion.html et DNS :
> http://www.bortzmeyer.org/dns-attaque-ns-point.html
Pour NTP, je connaissais (j'ai 3 machines dans le pool NTP et j'essaye de
faire attention) et je n'ai pas de souci,. Pour le DNS, j'avais pourtant
fouillé le blog de Stéphane (j'ai même failli directement lui demander) pour
retrouver cet article dont je me rappelais. L'attaque évoquée n'est
pas celle là car les demandes concernent des machines exotiques et non la
racine «.».
Du coup j'ai épluché les logs car tout de même, j'ai du mal à croire que cela
suffise à écrouler ma machine. Je me suis aperçu que le souci constaté sur le
serveur NTP, que j'avais attribué à un délai dans la réponse, était en fait un
crash noyau dans l'interruption correspondant à l'horloge système (sombre
histoire de 32 bits, uptime et nombre de1/250 ième de seconde dans cet uptime).
J'ai changé de noyau (c'était un vieux lenny 2.6.26 de toute façon). Ça
devrait être réglé.
Merci des réponses, ça m'a incité à éplucher les (longs) logs.
François Boisson
Reply to: