[GTER] Flood de requisições DNS quase parando servidor
Enio Marconcini
eniorm at gmail.com
Fri Sep 21 21:21:36 -03 2012
2012/9/19 Ricardo Rodrigues <rcr.listas at ig.com.br>
> Não sei a opinião dos demais, mas tenho pra mim que DNS é um dos pontos
> mais frágeis/sensíveis da "Arquitetura Internet" (se não for O mais
> frágil). Além disso, muito do "senso comum" não se aplica para DNS. E se
> fizer uma mudança errada, pode demorar um bom tempo até que a correção
> tenha efeito por causa do cache DNS.
>
> Algumas das melhores práticas:
> - Separe as funções DNS Autoritativo e Recursivo (endereços IP diferentes),
> preferencialmente em servidores diferentes.
> - Configure o recursivo para aceitar consultas apenas de seus clientes
> - Mantenha o software DNS atualizado contra vulnerabilidades.
> - Software DNS de qualidade não requer firewall stateful ou IPS para
> proteção. Em caso de ataques DDoS/DoS, estes elementos vão cair antes do
> DNS. Verifique se seu software DNS requer proteção com FW e IPS .
> - O servidor DNS recebe consultas via UDP E TCP. É comum administradores
> bloquearem consultas via TCP mas não é o correto.
> - No caso de autoritativos, tenha um hidden master com alta
> disponibilidade. Se ele não tiver alta disponibilidade, você não poderá
> fazer aprovisionamento em caso de falha.
>
> Disclaimer: Esta mensagem expressa minha opinião pessoal e é independente
> do vendor DNS onde trabalho.
>
> Abs,
> Ricardo
>
>
bom pessoal, seguindo as dicas da galera, dei uma arrumada na casa, mudei o
dns autoritativo para uma outra máquina exclusiva para não misturar com o
cache-dns,
outra coisa, o servidor dns que cuidava do dominio, deixei ele escutando
apenas nos ips internos da lan, porém quando rodo um tcpdump ainda tem um
fluxo de muitas linhas trazidas pelo tcpdump, de requisições na porta 53
podem ver aqui http://pastebin.com/xcSkbu9s
aqui resumido, mas essas linhas correm como se fosse o access.log do squid
rsrs
tem um servidor freebsd antes de chegar nesse servidor, com o pf eu
coloquei um block para tudo que for entrada de na porta 53 destino o
servidor dns antigo, porém o fluxo continua...... tem algo bem errado einh?
--
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
*
Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*
*"H**ave a trouble with windows: reboot!*
*Have a trouble with unix: be root!"*
*
*
*"Linux: para aqueles que odeiam o Windows."*
*"BSD: para aqueles que amam o Unix."*
More information about the gter
mailing list