[GTER] Bind9 com tráfego estranho

Denilson Rocha denilson_rocha at vertentes.com.br
Thu Sep 11 12:11:32 -03 2014


Tudo bem, Patrick?

Sua tese também reforça que meu servidor estaria apenas buscando
responder a perguntas de hosts da minha rede, que é permitida no
allow-query. Vou tentar identificar agora!

Muito obrigado!

Atenciosamente
Denilson Rocha
Vertentes Telecom



Em Qua, 2014-09-10 às 16:56 -0300, Patrick Barreto Petronetto escreveu:

> Seu servidor DNS é recursivo. Correto?
> Fiz uns testes com nmap e dig, 117.27.239.231 tem a porta de DNS aberta
> para o mundo mas não responde consulta recursiva, ao que parece.
> 
> Fiz umas 10 consultas com dig e todas falham em UDP e são refeitas em TCP,
> uma vez feita em TCP algumas retornam resposta, outras não, apresentando
> "connection reset":
> bash-4.2$ dig a bla.com.br @117.27.239.231
> ;; Truncated, retrying in TCP mode.
> ;; communications error to 117.27.239.231#53: connection reset
> 
> na minha opnião esse 117.27.239.231 é um servidor autoritativo (ou era) de
> algum domínio que clientes do seu servidor recursivo estão buscando, como
> todas as consultas são refeitas em TCP o seu servidor acaba abrindo uma
> conexão TCP, enquanto as buscas para o domínio que esse servidor
> supostamente responde essas conexões não vão parar de aparecer.
> 
> Lembrando que são apenas suposições.
> 
> 2014-09-10 8:47 GMT-03:00 Denilson Rocha <denilson_rocha at vertentes.com.br>:
> 
> > Prezados, bom dia!
> >
> > Possuo dois servidores DNS com BIND9, e me deparei com um tráfego que
> > considero estranho... Há toneladas de conexões ativas como abaixo
> > (substituí o nome correto por ___servername___):
> >
> > # netstat
> > tcp        0     56 ___servername___:43841 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     61 ___servername___:57356 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     54 ___servername___:56643 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     62 ___servername___:43859 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     52 ___servername___:41105 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     59 ___servername___:52948 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     47 ___servername___:43564 117.27.239.231:domain
> > ESTABELECIDA
> > tcp        0     60 ___servername___:35547gter at eng.registro.br
> > 117.27.239.231:domain   ESPERA_FIN1
> > tcp        0     52 ___servername___:37086 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     60 ___servername___:50299 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     61 ___servername___:50733 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     60 ___servername___:49954 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     54 ___servername___:56114 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     58 ___servername___:52498 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     60 ___servername___:51029 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     58 ___servername___:49157 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     49 ___servername___:53923 117.27.239.231:domain
> > ESTABELECIDA
> > tcp        0     54 ___servername___:43032 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     50 ___servername___:58786 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     60 ___servername___:58091 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     50 ___servername___:59829 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     55 ___servername___:45556 117.27.239.231:domain
> > ESTABELECIDA
> > tcp        0     49 ___servername___:39342 117.27.239.231:domain
> > ESTABELECIDA
> > tcp        0     62 ___servername___:36701 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     59 ___servername___:60671 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     58 ___servername___:56954 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     59 ___servername___:39270 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     50 ___servername___:53215 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     39 ___servername___:52409 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     49 ___servername___:51849 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     52 ___servername___:46896 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     54 ___servername___:56638 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     54 ___servername___:56632 117.27.239.231:domain
> > ESPERA_FIN1
> > tcp        0     54 ___servername___:34805 117.27.239.231:domain
> > ESPERA_FIN1
> >
> > São originadas no meu servidor, com destino à porta 53 do servidor
> > remoto. O mais estranho são os detinos. Os destinos com mais conexões
> > são pertencentes aos blocos abaixo:
> >
> >
> > -------------------------------------------------------------------------------
> > inetnum:        58.208.0.0 - 58.223.255.255
> > netname:        CHINANET-JS
> > descr:          CHINANET jiangsu province network
> > descr:          China Telecom
> > descr:          A12,Xin-Jie-Kou-Wai Street
> > descr:          Beijing 100088
> > country:        CN
> >
> > -------------------------------------------------------------------------------
> > inetnum:        117.24.0.0 - 117.31.255.255
> > netname:        CHINANET-FJ
> > descr:          CHINANET Fujian province network
> > descr:          China Telecom
> > descr:          7,East Street ,Fuzhou ,Fujian ,PRC
> > country:        CN
> >
> > -------------------------------------------------------------------------------
> > inetnum:        221.204.0.0 - 221.205.255.255
> > netname:        UNICOM-SX
> > descr:          China Unicom Shanxi Province Network
> > descr:          China Unicom
> > country:        CN
> >
> > -------------------------------------------------------------------------------
> > inetnum:        222.160.0.0 - 222.163.255.255
> > netname:        UNICOM-JL
> > descr:          China Unicom Jilin province network
> > descr:          China Unicom
> > country:        CN
> >
> > -------------------------------------------------------------------------------
> > inetnum:        222.184.0.0 - 222.191.255.255
> > netname:        CHINANET-JS
> > descr:          CHINANET jiangsu province network
> > descr:          China Telecom
> > descr:          A12,Xin-Jie-Kou-Wai Street
> > descr:          Beijing 100088
> > country:        CN
> >
> > -------------------------------------------------------------------------------
> >
> > Existem ainda alguns destinos nos Estados Unidos, mas esses da China são
> > a imensa maioria...
> >
> > Já viram este tipo de comportamento? Não acredito que seja normal...
> >
> > Atenciosamente
> > Denilson Rocha
> > Vertentes Telecom
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter





More information about the gter mailing list