[GTER] RES: DNS Alto Trafego

Bruno Zerves / Pulsive Digital Experience bruno at pulsive.com.br
Wed Mar 1 09:45:44 -03 2017 

O pessoal da Parks nos recomendou desativar o DNS Relay das ONUs e setar o
nosso DNS direto no DHCP Server de cada uma. Mas não acredito que isso possa
causar todo esse tráfego de cada cliente e o sistema estava funcionando já
faz uns 2 anos e nunca teve esse problema, por isso também creio numa
infecção. Posto o log do DNS aqui na sequência... 

Obrigado

-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Frederico A C
Neves
Enviada em: quarta-feira, 1 de março de 2017 09:22
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
<gter at eng.registro.br>
Assunto: Re: [GTER] DNS Alto Trafego

Bruno,

On Tue, Feb 28, 2017 at 11:36:54PM -0300, Bruno Zerves / Pulsive Digital
Experience wrote:
> Boa noite pessoal, venho aqui pedir alguma dica de vocês, pois estamos 
> esgotando as tentativas de solução.
> 
>  
> 
> Temos um cenário de um provedor com cerca de 500 clientes conectados 
> simultaneamente ao concentrador. De uns tempos pra cá, percebemos que 
> pelo menos 100 clientes (nem sempre os mesmos 100) enviam requisições 
> ao DNS (Feito em Debian + BIND) que chegam a dar 4, 5mbps cada 
> cliente, gerando um tráfego grande e causando lentidão na entrega das
requisições reais.
> 
>  
> 
> O servidor está bloqueado para fora da rede do provedor, mas parece 
> que os próprios clientes estão atacando.
> 
>  
> 
> Como este servidor está virtualizado, refizemos e redirecionamos um 
> novo, durou poucas horas, e voltou a apresentar os sintomas.
> 
>  
> 
> Este DNS estava rodando à uns 2 anos sem problemas, e seguindo todas 
> as recomendações de boas práticas.
> 
>  
> 
> Alguém já passou por isso ou tem uma dica pra tentar resolver? A única 
> forma que achamos de parar o tráfego foi desabilitando a recursão, mas 
> daí ninguém consegue consultar...
> 

Você tem alguma coleta das consultas que estes clientes tem enviado para o
servidor?

Os sintomas que você reporta são fortes indícios de que estes clientes estão
infectados com algum tipo de artefato malicioso.

Como medida paliativa, e de posse das características das consultas, você
pode tentar usar RPZ[1] para mitigar o problema.

Como solução definitiva, identificado o problema, tente ajudar seus clientes
a removerem o artefato de suas máquinas/CPEs etc...

> 
> Obrigado desde já e desculpem se não é o local mais adequado.
> 
>  
> 
> Atenciosamente,
> 
> Bruno
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

Fred

[1] https://en.wikipedia.org/wiki/Response_policy_zone
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list