[GTER] RES: Flood DNS - Consumo de rede

[diegocanton at ensite.com.br]

Acabo de notar isso também usando TCPDUMP em meu servidor, no caso temos um
cliente que alocamos um CIDR, um dos IP é um Mikrotik, que está respondendo
a consultas DNS na porta WAN, já notifiquei o cliente para que corrija a
configuração do equipamento;

Normalmente isso ocorre em equipamentos que respondam a porta 53 UDP pelo IP
de WAN, quando não poderiam, por terem um servidor DNS incorporado. A
solução é desativar a porta 53 UDP com destino aos clientes e só liberar
quem realmente use, ou reconfigurar todos os roteadores e servidores para
negarem Input UDP 53, caso não sejam servidores de domínio.

Att,
_______________________________________________________________________


-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Daniel Vasconcelos
Enviada em: sexta-feira, 17 de outubro de 2014 10:16
Para: gter at eng.registro.br
Assunto: [GTER] Flood DNS - Consumo de rede

Olá pessoal,

Analisando os gráficos do último mês de um servidor DNS, percebi que o
tráfego de rede aumentou drasticamente, comparando os últimos 6 meses,
apenas no mês 10 (atual) houve este aumento. Segue um comparativo:




Não é backup que está gerando todo esse consumo, além do mais, o servidor
permite consultas recursivas apenas a partir de determinadas redes. O que
pode estar ocorrendo não sei, mas achei estranho esta saída nos logs do
tcpdump:

user at dns:~# tcpdump -i eth0
10:11:31.221987 IP dns.tcheturbo.com.br.domain >
rb.tcheturbo.com.br.61426: 30774 10/2/1 TXT "tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy ttttttttttttt" "yyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttt" "tttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy", TXT "asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf " "asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf", TXT[|domain]

Esta saída apresentada acima se repete continuamente, apenas alternando os
valores do campo TXT.

Alguém poderia me dar uma mão e um maior esclarecimento do que pode estar
acontecendo?

Atenciosamente,
Daniel
--
gter list    https://eng.registro.br/mailman/listinfo/gter