непонятный ДНС траффик

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
reekoff
рядовой
Сообщения: 12
Зарегистрирован: 2008-09-23 16:07:42

непонятный ДНС траффик

Непрочитанное сообщение reekoff » 2012-06-19 15:49:00

freebsd 7.4, bind 9.7.6
Дня три уже, постоянно висят соединения извне с 53-го порта данных адресов (173.192.65.60, 199.59.163.146, 98.129.229.182, 70.90.62.106) на 53-й порт моего сервака и бомбардируют его пакетиками по 2-3 килобайта. Фаером я это дело порезал, но, естественно, это не влияет на сам факт прихода ко мне данного трафика и, кстати, на его оплату провайдеру. В день набегает под 150 мегабайт флуда (при нормальном объеме ДНС 2-3 мегабайта в день), а канал не безлимитный. Описал ситуацию провайдеру, пока молчат. Что посоветуете?
Заранее спасибо!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: непонятный ДНС траффик

Непрочитанное сообщение lap » 2012-06-19 20:48:49

а в пакетикакх-то что?
Не сломалось - не чини.

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: непонятный ДНС траффик

Непрочитанное сообщение Bayerische » 2012-06-19 21:07:45

DNS tunneling?

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: непонятный ДНС траффик

Непрочитанное сообщение lap » 2012-06-20 5:51:33

Bayerische писал(а):DNS tunneling?
маловато трафика имхо.


У меня в логах ДНСа периодически вылезают запросы про isc.org (где-то тут уже поднималась такая тема).
Вот например из текущего файлика логов ипишники:

Код: Выделить всё

1.2.3.4
31.204.128.176
31.3.227.16
31.3.227.162
37.157.244.66
37.220.16.12
37.220.6.146
37.220.6.149
37.49.226.69
37.59.76.10
37.59.93.94
38.100.213.5
41.129.17.167
46.105.36.36
46.166.144.233
46.166.155.108
46.26.86.116
50.115.118.4
50.97.132.154
61.130.105.186
62.129.168.216
62.75.235.212
64.250.115.72
64.40.12.104
64.40.2.12
64.40.2.22
64.40.8.242
64.40.8.42
64.40.8.44
64.40.8.45
64.94.100.206
66.45.251.210
67.213.215.56
67.215.13.106
67.220.78.172
67.228.109.166
67.228.201.20
67.228.201.208
67.228.201.209
67.228.201.214
68.68.17.49
68.68.27.24
68.68.27.87
69.175.20.10
69.175.54.242
69.175.66.139
69.4.230.110
69.55.53.49
69.64.34.9
72.20.33.85
74.115.1.47
74.115.1.94
74.55.127.194
74.85.154.42
76.10.222.148
77.206.107.9
77.206.107.92
77.223.156.166
77.223.159.166
78.159.108.32
78.159.97.103
78.222.72.214
78.230.46.173
78.232.66.54
78.233.253.35
78.236.223.135
78.239.247.198
78.247.236.179
78.248.136.90
78.250.221.10
78.251.123.4
78.251.225.77
80.125.163.172
80.236.108.223
80.237.157.67
81.93.244.220
81.93.251.98
82.119.197.120
82.165.139.125
82.165.27.129
82.192.74.83
82.52.152.194
83.169.61.47
83.196.219.78
84.223.213.178
85.17.225.104
85.17.26.46
85.25.137.51
85.25.151.48
85.25.152.63
85.25.242.233
85.52.201.214
86.192.97.40
86.68.241.5
87.106.133.132
87.106.165.144
87.106.20.236
87.230.55.91
87.230.55.93
87.98.152.38
87.98.155.38
87.98.181.40
88.122.226.97
88.164.138.141
88.190.31.35
88.190.36.129
88.190.39.174
88.191.135.213
88.191.144.92
89.185.33.177
90.18.255.147
90.58.241.204
91.121.151.70
91.121.192.171
91.186.0.203
91.205.172.74
92.90.16.93
93.104.212.199
93.173.88.103
93.174.88.103
93.188.170.73
94.23.197.68
94.247.28.159
94.76.204.195
94.76.245.3
95.168.172.38
95.168.179.62
95.211.148.148
95.252.151.130
106.79.3.189
108.170.30.1
108.170.30.18
108.170.36.146
108.59.11.211
108.61.17.91
109.15.154.11
109.200.206.194
109.200.206.235
109.236.31.193
109.73.72.58
125.26.223.118
127.0.0.1
140.211.169.7
149.3.140.75
149.3.141.207
149.3.141.229
151.52.228.179
151.63.55.155
159.253.131.119
159.253.149.18
173.192.165.151
173.244.222.224
173.245.61.144
174.127.103.199
174.127.103.233
174.127.73.11
174.127.73.144
174.127.73.190
174.127.73.20
174.127.73.206
174.127.73.9
174.127.92.85
174.127.92.91
174.127.93.67
174.127.97.87
174.136.43.89
174.36.34.227
174.37.211.115
176.227.198.43
176.227.211.178
176.31.240.157
176.31.247.53
176.31.249.65
176.31.45.247
176.31.45.254
176.67.165.15
176.9.16.212
176.9.63.8
178.162.147.191
178.238.227.97
178.238.230.63
178.238.232.202
178.33.231.214
178.33.231.85
184.154.32.7
184.154.96.26
184.172.136.64
184.173.128.8
184.173.128.9
184.173.164.147
188.138.88.35
188.138.89.234
188.165.178.179
188.165.178.185
188.165.178.186
188.165.193.169
188.227.184.186
188.7.3.219
193.36.45.139
194.28.158.14
194.28.158.142
197.1.66.90
199.189.107.76
199.27.134.15
199.30.228.53
199.59.163.250
200.98.197.32
201.240.58.107
204.93.201.127
206.217.209.34
206.217.220.197
206.217.220.209
208.43.123.158
208.43.201.65
208.96.34.35
209.200.153.101
209.212.146.30
209.59.169.27
212.7.194.3
213.165.80.141
216.121.87.180
216.139.213.144
216.139.240.37
218.28.0.243

Код: Выделить всё

Jun 17 23:49:04 life-in named[62947]: 17-Jun-2012 23:49:04.850 queries: client 69.175.66.139#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 17 23:49:13 life-in named[62947]: 17-Jun-2012 23:49:13.095 queries: client 69.175.66.139#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 02:44:21 life-in named[62947]: 18-Jun-2012 02:44:21.229 queries: client 91.186.0.203#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 03:02:36 life-in named[62947]: 18-Jun-2012 03:02:36.131 queries: client 199.27.134.15#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 03:02:39 life-in named[62947]: 18-Jun-2012 03:02:39.402 queries: client 199.27.134.15#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 03:02:44 life-in named[62947]: 18-Jun-2012 03:02:44.135 queries: client 199.27.134.15#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 20:54:25 life-in named[62947]: 18-Jun-2012 20:54:25.992 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 20:54:41 life-in named[62947]: 18-Jun-2012 20:54:41.687 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 20:54:42 life-in named[62947]: 18-Jun-2012 20:54:42.407 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 20:54:51 life-in named[62947]: 18-Jun-2012 20:54:51.464 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 20:55:01 life-in named[62947]: 18-Jun-2012 20:55:01.546 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 20:55:30 life-in named[62947]: 18-Jun-2012 20:55:30.054 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 20:59:44 life-in named[62947]: 18-Jun-2012 20:59:44.716 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 21:00:26 life-in named[62947]: 18-Jun-2012 21:00:26.179 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 21:00:41 life-in named[62947]: 18-Jun-2012 21:00:41.061 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 21:00:53 life-in named[62947]: 18-Jun-2012 21:00:53.428 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 21:02:16 life-in named[62947]: 18-Jun-2012 21:02:16.244 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 18 21:02:57 life-in named[62947]: 18-Jun-2012 21:02:57.172 queries: client 94.247.28.159#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 20 06:28:02 life-in named[62947]: 20-Jun-2012 06:28:02.367 queries: client 94.76.245.3#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 20 06:29:06 life-in named[62947]: 20-Jun-2012 06:29:06.900 queries: client 94.76.245.3#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 20 06:29:08 life-in named[62947]: 20-Jun-2012 06:29:08.510 queries: client 94.76.245.3#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 20 06:29:31 life-in named[62947]: 20-Jun-2012 06:29:31.076 queries: client 94.76.245.3#25345: query: isc.org IN ANY +ED (212.48.42.142)
Jun 20 06:29:51 life-in named[62947]: 20-Jun-2012 06:29:51.351 queries: client 94.76.245.3#25345: query: isc.org IN ANY +ED (212.48.42.142)
Не сломалось - не чини.

reekoff
рядовой
Сообщения: 12
Зарегистрирован: 2008-09-23 16:07:42

Re: непонятный ДНС траффик

Непрочитанное сообщение reekoff » 2012-06-20 8:44:19

lap писал(а):а в пакетикакх-то что?

Код: Выделить всё

09:18:43.403361 IP (tos 0x0, ttl 123, id 28576, offset 0, flags [none], proto UDP (17), length 66) enr-g.com.domain > stinky.ivanopulos.com.domain: 952+ [1au] ANY? ripe.net. (38)

Код: Выделить всё

09:19:35.828686 IP (tos 0x0, ttl 119, id 15713, offset 0, flags [DF], proto UDP (17), length 66) 184.173.128.85-static.reverse.softlayer.com.domain > stinky.ivanopulos.com.domain: 952+ [1au] ANY? ripe.net. (38)
такого плана пакеты

reekoff
рядовой
Сообщения: 12
Зарегистрирован: 2008-09-23 16:07:42

Re: непонятный ДНС траффик

Непрочитанное сообщение reekoff » 2012-06-20 8:45:10

Bayerische писал(а):DNS tunneling?
На сервере (веб, почта, днс) 1 интерфейс смотрящий в интернет. Кто и куда может что-либо туннелить через него?

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: непонятный ДНС траффик

Непрочитанное сообщение lap » 2012-06-20 8:51:37

для приземления тоннеля достаточно =)
но судя по дампу, это обычные днс запросы.
Не сломалось - не чини.

reekoff
рядовой
Сообщения: 12
Зарегистрирован: 2008-09-23 16:07:42

Re: непонятный ДНС траффик

Непрочитанное сообщение reekoff » 2012-06-20 9:09:10

Что-то как-то круто для обычных. Имеется ввиду интенсивность и постоянность. К утру уже входящий траф составил 135 метров. Обычно бывает 3-5 мегов за сутки.
По туннелингу. Определить его можно только по интенсивности и разнокалиберности ДНС-траффика?
И еще. Хост использующий мой сервер как составную туннеля (184.173.128.85-static.reverse.softlayer.com, например) направляет свой траф через мой сервак на конец туннеля. Но фаейвол на моем серваке запрещает все соединения для данного хоста (и 53- порт тоже). То бишь, пакеты приходят ко мне, но не пропускаются и ответные не уходят обратно.

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: непонятный ДНС траффик

Непрочитанное сообщение lap » 2012-06-20 9:39:37

просто по моим представлениям у тебя должен не просто днс сервер стоять, а что-то запиленное под тунелирование. Но я про это знаю только чисто теоретически и поверхностно, на практике такое не ковырял и не применял.

Попробуй еще на абьюз написать. Может найдут чего.
Не сломалось - не чини.

reekoff
рядовой
Сообщения: 12
Зарегистрирован: 2008-09-23 16:07:42

Re: непонятный ДНС траффик

Непрочитанное сообщение reekoff » 2012-06-20 10:37:00

Причем, наблюдаю 4-й день эту картину, - один адрес остается неизменным (199.59.163.146), остальные каждый день другие. Строго соединение 53-й с 53-м и постоянное.
вывод iftop (такая картина висит постоянно):

Код: Выделить всё

stinky.ivanopulos.com:domain => 184.173.128.85-static.reverse.softlayer.com:domain 0b0b0b
                             <=                                      2.5863602.6350 2.12Kb
stinky.ivanopulos.com:domain => 184-82-79-126.static.hostnoc.net:domain 0b0b0b
                             <=                                      2.0661791.963b 1.96Kb
stinky.ivanopulos.com:domain => 70-90-62-106-BusName-planteast.fl.pompano.hfc.comcastbusi:domain 0b0b0b
                             <=                                      1.29041 1.2942 1.02Kb
stinky.ivanopulos.com:domain => enr-g.com:domain  0b0b0b
                             <=                                      1.03Kb  1.031b  1.02Kb
 

erge
проходил мимо
Сообщения: 1
Зарегистрирован: 2012-10-03 19:53:27

Re: непонятный ДНС траффик

Непрочитанное сообщение erge » 2012-10-03 19:58:30

кто нибудь придумал решение?
каждый день баню новые IP'шники... уже подумываю закрывать подсети.
в принципе то пофиг на траффик, он безлимитный, но из-за атаки падает интернет, т.е. забивают канал этим флудом.
если в офисе то еще можно решить проблему, забанив пару новых IP, а удаленно практически нет, ввиду забивания канала,невозможно подключиться на сервер.

Dark_ASU
сержант
Сообщения: 258
Зарегистрирован: 2009-10-31 22:13:04
Контактная информация:

Re: непонятный ДНС траффик

Непрочитанное сообщение Dark_ASU » 2012-10-03 22:09:43

Какую роль ДНС выполняет? Просто резольвер для внутренней сети или реальные зоны крутятся?