[GTER] RES: Bind9 com tráfego estranho

diegocanton at ensite.com.br diegocanton at ensite.com.br
Thu Sep 11 17:49:15 -03 2014 

Estou tendo caso parecido, usando um TCPDump ou dnstop você verá que está recebendo dos clientes consultas que vão para esse servidor, que após um tempo para;

Aqui tratei bloqueando a 53 UDP com destino a minha rede, solicitei para os provedores clientes realizarem o mesmo e resolveu parcialmente, pois alguns não conseguiram filtrar;

Att,
_______________________________________________________________________


-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Denilson Rocha
Enviada em: quarta-feira, 10 de setembro de 2014 08:48
Para: gter at eng.registro.br
Assunto: [GTER] Bind9 com tráfego estranho

Prezados, bom dia!

Possuo dois servidores DNS com BIND9, e me deparei com um tráfego que considero estranho... Há toneladas de conexões ativas como abaixo (substituí o nome correto por ___servername___):

# netstat
tcp        0     56 ___servername___:43841 117.27.239.231:domain
ESPERA_FIN1
tcp        0     61 ___servername___:57356 117.27.239.231:domain
ESPERA_FIN1
tcp        0     54 ___servername___:56643 117.27.239.231:domain
ESPERA_FIN1
tcp        0     62 ___servername___:43859 117.27.239.231:domain
ESPERA_FIN1
tcp        0     52 ___servername___:41105 117.27.239.231:domain
ESPERA_FIN1
tcp        0     59 ___servername___:52948 117.27.239.231:domain
ESPERA_FIN1
tcp        0     47 ___servername___:43564 117.27.239.231:domain
ESTABELECIDA
tcp        0     60 ___servername___:35547gter at eng.registro.br
117.27.239.231:domain   ESPERA_FIN1
tcp        0     52 ___servername___:37086 117.27.239.231:domain
ESPERA_FIN1
tcp        0     60 ___servername___:50299 117.27.239.231:domain
ESPERA_FIN1
tcp        0     61 ___servername___:50733 117.27.239.231:domain
ESPERA_FIN1
tcp        0     60 ___servername___:49954 117.27.239.231:domain
ESPERA_FIN1
tcp        0     54 ___servername___:56114 117.27.239.231:domain
ESPERA_FIN1
tcp        0     58 ___servername___:52498 117.27.239.231:domain
ESPERA_FIN1
tcp        0     60 ___servername___:51029 117.27.239.231:domain
ESPERA_FIN1
tcp        0     58 ___servername___:49157 117.27.239.231:domain
ESPERA_FIN1
tcp        0     49 ___servername___:53923 117.27.239.231:domain
ESTABELECIDA
tcp        0     54 ___servername___:43032 117.27.239.231:domain
ESPERA_FIN1
tcp        0     50 ___servername___:58786 117.27.239.231:domain
ESPERA_FIN1
tcp        0     60 ___servername___:58091 117.27.239.231:domain
ESPERA_FIN1
tcp        0     50 ___servername___:59829 117.27.239.231:domain
ESPERA_FIN1
tcp        0     55 ___servername___:45556 117.27.239.231:domain
ESTABELECIDA
tcp        0     49 ___servername___:39342 117.27.239.231:domain
ESTABELECIDA
tcp        0     62 ___servername___:36701 117.27.239.231:domain
ESPERA_FIN1
tcp        0     59 ___servername___:60671 117.27.239.231:domain
ESPERA_FIN1
tcp        0     58 ___servername___:56954 117.27.239.231:domain
ESPERA_FIN1
tcp        0     59 ___servername___:39270 117.27.239.231:domain
ESPERA_FIN1
tcp        0     50 ___servername___:53215 117.27.239.231:domain
ESPERA_FIN1
tcp        0     39 ___servername___:52409 117.27.239.231:domain
ESPERA_FIN1
tcp        0     49 ___servername___:51849 117.27.239.231:domain
ESPERA_FIN1
tcp        0     52 ___servername___:46896 117.27.239.231:domain
ESPERA_FIN1
tcp        0     54 ___servername___:56638 117.27.239.231:domain
ESPERA_FIN1
tcp        0     54 ___servername___:56632 117.27.239.231:domain
ESPERA_FIN1
tcp        0     54 ___servername___:34805 117.27.239.231:domain
ESPERA_FIN1

São originadas no meu servidor, com destino à porta 53 do servidor remoto. O mais estranho são os detinos. Os destinos com mais conexões são pertencentes aos blocos abaixo:

-------------------------------------------------------------------------------
inetnum:        58.208.0.0 - 58.223.255.255
netname:        CHINANET-JS
descr:          CHINANET jiangsu province network
descr:          China Telecom
descr:          A12,Xin-Jie-Kou-Wai Street
descr:          Beijing 100088
country:        CN
-------------------------------------------------------------------------------
inetnum:        117.24.0.0 - 117.31.255.255
netname:        CHINANET-FJ
descr:          CHINANET Fujian province network
descr:          China Telecom
descr:          7,East Street ,Fuzhou ,Fujian ,PRC
country:        CN
-------------------------------------------------------------------------------
inetnum:        221.204.0.0 - 221.205.255.255
netname:        UNICOM-SX
descr:          China Unicom Shanxi Province Network
descr:          China Unicom
country:        CN
-------------------------------------------------------------------------------
inetnum:        222.160.0.0 - 222.163.255.255
netname:        UNICOM-JL
descr:          China Unicom Jilin province network
descr:          China Unicom
country:        CN
-------------------------------------------------------------------------------
inetnum:        222.184.0.0 - 222.191.255.255
netname:        CHINANET-JS
descr:          CHINANET jiangsu province network
descr:          China Telecom
descr:          A12,Xin-Jie-Kou-Wai Street
descr:          Beijing 100088
country:        CN
-------------------------------------------------------------------------------

Existem ainda alguns destinos nos Estados Unidos, mas esses da China são a imensa maioria...

Já viram este tipo de comportamento? Não acredito que seja normal... 

Atenciosamente
Denilson Rocha
Vertentes Telecom
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list