[GTER] Flood de requisições DNS quase parando servidor

Enio Marconcini eniorm at gmail.com
Mon Sep 24 16:33:32 -03 2012


Caro Ricardo Rodrigues,
os ips 34 a 39 apenas o 34 e 35 eram DNS o resto era para outros propósitos.
Acho que foi isso o TTL expirou e não estou recebendo mais aquelas
requisições como antes..
obrigado pelo esclarecimento

2012/9/22 Ricardo Rodrigues <rcr.listas at ig.com.br>

> Enio,
>
> Se os IP's que você postou são corretos, há dois endereços IP externos
> enviando requisições para seus servidores.
>
> Origens:
> 65.30.47.49 - Road Runner HoldCo LLC
> 69.42.234.216 - Red River Telephone
>
> Destinos:
> 200.201.202.34 a 200.201.202.39, porta 53
>
> Algumas observações:
>
> 1. As consultas são para o domínio ".", tipo ANY. Isto é típico de ataques
> de amplificação com IP de origem spoofado.
>
> 2. Todos os IP's 34 a 39 eram servidores DNS? Parece que estão fazendo um
> scan na sua rede. De qualquer forma, sugere-se que você tenha ao menos 2
> endereços IP para seus autoritativos, e mais 2 para seus recursivos.
> Lembre-se que os servidores autoritativos antigos (antes da sua mudança)
> receberão consultas até que o TTL expire nos servidores cache (tanto seus
> quanto os da Internet).
>
> 3. Se você configurar "allow-query none", você está dizendo que ninguém
> pode consultar seu servidor (seja autoritativo ou cache). Por isso seu
> domínio ficou inacessível em seu primeiro e-mail.
>
> 4. Seguem exemplos de configuração de servidores Cache e Autoritativo
> segundo o ARM do BIND 9.9:
> http://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch03.html#id2567771.
> Em
> servidores cache, configura-se o allow-query para seus clientes, e em
> autoritativos configura-se o allow-query para any e nega-se a recursão
> (recursion no).
>
> Saudações,
> Ricardo
>
> Disclaimer: Esta mensagem expressa minha opinião pessoal e é independente
> do vendor DNS para o qual trabalho.
>
>
Caro Ricardo Rodrigues,
os ips 34 a 39 apenas o 34 e 35 eram DNS o resto era para outros propósitos.
Acho que foi isso o TTL expirou e não estou recebendo mais aquelas
requisições como antes..
obrigado pelo esclarecimento

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
*
Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*

*"H**ave a trouble with windows: reboot!*
*Have a trouble with unix: be root!"*
*
*
*"Linux: para aqueles que odeiam o Windows."*
*"BSD: para aqueles que amam o Unix."*



More information about the gter mailing list