[GTER] Flood de requisições DNS quase parando servidor

Enio Marconcini eniorm at gmail.com
Wed Sep 19 14:34:14 -03 2012 

2012/9/18 Enio Marconcini <eniorm at gmail.com>

> Pessoal.
> Estou tentando resolver um problema aqui que já está além da minha
> capacidade.
> Muitas requisições de dns tem chegado no servidor, o que está consumindo
> muito do link e quase parando o servidor.
>
> O que inicialmente fiz foi ajustar a diretiva allow-query para none, porém
> o site ficou aparentemente inacessível de fora.
>
> Por fim estou usando outro servidor DNS para responder pelo dominio da
> empresa, mas continua o site no mesmo servidor de antes. Acho que não estou
> conseguindo ajustar a configuração corretamente, pois quando acessa o site,
> abre um que está hospedado no servidor dns atual, e não o site que está no
> outro servidor.
>
> Mesmo assim, como faço para resolver essa enxurrada de requisições de DNS,
> são muitas, e de diversos ips externos.
>
> abraços
>
> --
> *ENIO RODRIGO MARCONCINI*
> @eniomarconcini <http://twitter.com/eniomarconcini>
> *
> Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*
>
> *"H**ave a trouble with windows: reboot!*
> *Have a trouble with unix: be root!"*
> *
> *
> *"Linux: para aqueles que odeiam o Windows."*
> *"BSD: para aqueles que amam o Unix."*
>
>
Bom pessoal como muitos fizeram comentários irei responder a todos.

Nelson Brito, as requisições são udp, pelo menos é o que aparece quando
rodo um tcpdump.

Caio Zanolla, desconheço ainda esse tal Route53, irei pesquisar sobre o
assunto, obrigado pela dica.

Bruno Cabral, é impossível eu migrar para o registro.br em virtude do meu
subdomínio pertencer a Prodesp (.sp.gov.br)

Rubens Kuhl, não entendo de ataques, porém percebi que tinha algo estranho
quando vi o gráfico de consumo, com isso vi que o processo do named estava
no topo, e em virtude disso fui olhar o messages e o que tava rolando com o
tcpdump.
O servidor estava com views sim, mas por fim acabei por colocar o DNS
autoritativo para o domínio no outro servidor que temos, assim o outro
(antigo) ficou apenas sendo usado para cache-dns local. Ah e havia mudado
sim o serial, mas isso resolveu, faltava uns F5 ou Ctrl+F5 nos navegadores.

Grande Patrick Tracanelli. Antes não tinha DNSSEC neste servidor. O nosso
objetivo era migrar o site para um servidor novo, que já tem alguns
dominios rodando com DNSSEC, porém estamos parados por problemas em migrar
uma aplicação legada. Ainda vai demorar até isso ser resolvido. Enquanto
isso tem muita requisição dns chegando nesse servidor mas o named pelo
menos não está servindo mais. Pensei em aplicar o firewall, ou regras do
named mesmo, porem são muitos ips. Eis uma lista parcial, porém neste meio
percebi que pode ter alguns válidos

37.59.44.117
46.105.110.122
65.95.124.39
69.162.76.50
70.85.0.143
72.8.190.124
77.241.201.67
79.143.180.227
81.67.196.137
82.239.125.109
91.121.3.44
91.205.41.9
198.143.165.99
223.252.16.119

Iarly, os ttls estão o padrão recomendado.

Paulo Fragoso, obrigado pelas dicas.



-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
*
Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*

*"H**ave a trouble with windows: reboot!*
*Have a trouble with unix: be root!"*
*
*
*"Linux: para aqueles que odeiam o Windows."*
*"BSD: para aqueles que amam o Unix."*

More information about the gter mailing list