[GTER] RES: DNS Alto Trafego
Bruno Zerves / Pulsive Digital Experience
bruno at pulsive.com.br
Wed Mar 1 09:45:44 -03 2017
O pessoal da Parks nos recomendou desativar o DNS Relay das ONUs e setar o
nosso DNS direto no DHCP Server de cada uma. Mas não acredito que isso possa
causar todo esse tráfego de cada cliente e o sistema estava funcionando já
faz uns 2 anos e nunca teve esse problema, por isso também creio numa
infecção. Posto o log do DNS aqui na sequência...
Obrigado
-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Frederico A C
Neves
Enviada em: quarta-feira, 1 de março de 2017 09:22
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
<gter at eng.registro.br>
Assunto: Re: [GTER] DNS Alto Trafego
Bruno,
On Tue, Feb 28, 2017 at 11:36:54PM -0300, Bruno Zerves / Pulsive Digital
Experience wrote:
> Boa noite pessoal, venho aqui pedir alguma dica de vocês, pois estamos
> esgotando as tentativas de solução.
>
>
>
> Temos um cenário de um provedor com cerca de 500 clientes conectados
> simultaneamente ao concentrador. De uns tempos pra cá, percebemos que
> pelo menos 100 clientes (nem sempre os mesmos 100) enviam requisições
> ao DNS (Feito em Debian + BIND) que chegam a dar 4, 5mbps cada
> cliente, gerando um tráfego grande e causando lentidão na entrega das
requisições reais.
>
>
>
> O servidor está bloqueado para fora da rede do provedor, mas parece
> que os próprios clientes estão atacando.
>
>
>
> Como este servidor está virtualizado, refizemos e redirecionamos um
> novo, durou poucas horas, e voltou a apresentar os sintomas.
>
>
>
> Este DNS estava rodando à uns 2 anos sem problemas, e seguindo todas
> as recomendações de boas práticas.
>
>
>
> Alguém já passou por isso ou tem uma dica pra tentar resolver? A única
> forma que achamos de parar o tráfego foi desabilitando a recursão, mas
> daí ninguém consegue consultar...
>
Você tem alguma coleta das consultas que estes clientes tem enviado para o
servidor?
Os sintomas que você reporta são fortes indícios de que estes clientes estão
infectados com algum tipo de artefato malicioso.
Como medida paliativa, e de posse das características das consultas, você
pode tentar usar RPZ[1] para mitigar o problema.
Como solução definitiva, identificado o problema, tente ajudar seus clientes
a removerem o artefato de suas máquinas/CPEs etc...
>
> Obrigado desde já e desculpem se não é o local mais adequado.
>
>
>
> Atenciosamente,
>
> Bruno
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
Fred
[1] https://en.wikipedia.org/wiki/Response_policy_zone
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list