[GTER] DNS Alto Trafego

[Frederico A C Neves]

Bruno,

On Tue, Feb 28, 2017 at 11:36:54PM -0300, Bruno Zerves / Pulsive Digital Experience wrote:
> Boa noite pessoal, venho aqui pedir alguma dica de vocês, pois estamos
> esgotando as tentativas de solução.
> 
>  
> 
> Temos um cenário de um provedor com cerca de 500 clientes conectados
> simultaneamente ao concentrador. De uns tempos pra cá, percebemos que pelo
> menos 100 clientes (nem sempre os mesmos 100) enviam requisições ao DNS
> (Feito em Debian + BIND) que chegam a dar 4, 5mbps cada cliente, gerando um
> tráfego grande e causando lentidão na entrega das requisições reais. 
> 
>  
> 
> O servidor está bloqueado para fora da rede do provedor, mas parece que os
> próprios clientes estão atacando.
> 
>  
> 
> Como este servidor está virtualizado, refizemos e redirecionamos um novo,
> durou poucas horas, e voltou a apresentar os sintomas.
> 
>  
> 
> Este DNS estava rodando à uns 2 anos sem problemas, e seguindo todas as
> recomendações de boas práticas.
> 
>  
> 
> Alguém já passou por isso ou tem uma dica pra tentar resolver? A única forma
> que achamos de parar o tráfego foi desabilitando a recursão, mas daí ninguém
> consegue consultar...
> 

Você tem alguma coleta das consultas que estes clientes tem enviado
para o servidor?

Os sintomas que você reporta são fortes indícios de que estes clientes
estão infectados com algum tipo de artefato malicioso.

Como medida paliativa, e de posse das características das consultas,
você pode tentar usar RPZ[1] para mitigar o problema.

Como solução definitiva, identificado o problema, tente ajudar seus
clientes a removerem o artefato de suas máquinas/CPEs etc...

> 
> Obrigado desde já e desculpem se não é o local mais adequado.
> 
>  
> 
> Atenciosamente,
> 
> Bruno
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

Fred

[1] https://en.wikipedia.org/wiki/Response_policy_zone