особенности DNS

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

особенности DNS

Непрочитанное сообщение Alex Keda » 2007-11-18 0:21:38

итак. тут ддосят хостинг, в приципе, уже на автомате новые хосты вносятся в ipfw, но, что было замечено - ддосящие компы-зомби, за IP сервера лезут на этот же сервер - ибо зона там же.
в принципе, можно запреить им не только tcp но и udp - через некоторое время они будут тваливаться не в силах узанть, что им досить.
но. так не интересно.
что было сделано - подвешен второй процесс намеда на нештатный порт (1053).
переписана зона на один из доступных мне хостов, вместо того, который ддосят.
добавлено правило в файрволл:

Код: Выделить всё

00603       16        912 fwd 77.221.137.170,1053 udp from table(2) to me dst-port 53
намед в дебаге, я с tcpdump на обоих интерфейсах.
что имеем - намеду призодит запрос, он отдаёт ответ.
сервер

Код: Выделить всё

00:17:49.652000 IP 89.235.137.98.adsl.sta.mcn.ru.59185 > serv.hos-ting.ru.domain:  17233+[|domain]
00:17:49.654944 IP serv.hos-ting.ru.1053 > 89.235.137.98.adsl.sta.mcn.ru.59185: UDP, length 92
00:17:54.651666 IP 89.235.137.98.adsl.sta.mcn.ru.59185 > serv.hos-ting.ru.domain:  17233+[|domain]
00:17:54.651928 IP serv.hos-ting.ru.1053 > 89.235.137.98.adsl.sta.mcn.ru.59185: UDP, length 92
клиент

Код: Выделить всё

00:18:01.360164 IP 89.235.137.98.adsl.sta.mcn.ru.59185 > serv.hos-ting.ru.domain:  17233+ A? orechka.net. (29)
00:18:01.428098 IP serv.hos-ting.ru.1053 > 89.235.137.98.adsl.sta.mcn.ru.59185: UDP, length 92
00:18:06.360633 IP 89.235.137.98.adsl.sta.mcn.ru.59185 > serv.hos-ting.ru.domain:  17233+ A? orechka.net. (29)
00:18:06.424978 IP serv.hos-ting.ru.1053 > 89.235.137.98.adsl.sta.mcn.ru.59185: UDP, length 92
намед:

Код: Выделить всё

18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: UDP request
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: using view '_default'
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: request is not signed
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: recursion available
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: query
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: ns_client_attach: ref = 1
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: query 'orechka.net/A/IN' approved
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: send
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: sendto
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: senddone
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: next
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: ns_client_detach: ref = 0
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: endrequest
18-Nov-2007 00:17:49.654 client @0x81a8c00: udprecv
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: UDP request
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: using view '_default'
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: request is not signed
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: recursion available
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: query
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: ns_client_attach: ref = 1
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: query 'orechka.net/A/IN' approved
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: send
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: sendto
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: senddone
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: next
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: ns_client_detach: ref = 0
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: endrequest
18-Nov-2007 00:17:54.651 client @0x81a8c00: udprecv
по логам всё пучком, но запрос вертает такое:

Код: Выделить всё

mail# host orechka.net 77.221.137.170
;; connection timed out; no servers could be reached
mail#   
=============
идеи есть?
собсно - идея в том, что хозяин хостинга знает сайт ддосящего болвана.
хотелось насолить... так бы прописал его IP и все компы в течение некоторогов ремени перенаправили бы запросы на его сайт...
может ещё идеи есть?
Убей их всех! Бог потом рассортирует...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: особенности DNS

Непрочитанное сообщение Alex Keda » 2007-11-18 0:29:20

а бля.
ответ идёт не стого порта...
клиент ждёт c 53...
как бы порт переписать...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: особенности DNS

Непрочитанное сообщение Alex Keda » 2007-11-18 0:32:49

Код: Выделить всё

mail# host orechka.net 77.221.137.170
;; reply from unexpected source: 77.221.129.85#53, expected 77.221.137.170#53
;; reply from unexpected source: 77.221.129.85#53, expected 77.221.137.170#53
;; connection timed out; no servers could be reached
mail#     
попробовал повесить на другой IP - ответил так
думаю, как бы нат прикрутить чтоли...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: особенности DNS

Непрочитанное сообщение Alex Keda » 2007-11-18 1:00:04

Код: Выделить всё

serv# ipfw add 602   fwd 77.221.129.85,53 udp from "table(2)" to me dst-port 53
serv# ipfw add 700 divert natd udp from 77.221.129.85 to any out via nve0
serv# natd -interface nve0
спасло отца русской демократии.
тока все уже спят, а адрес я забыл спросить :(
Убей их всех! Бог потом рассортирует...

Аватара пользователя
BlackCat
прапорщик
Сообщения: 468
Зарегистрирован: 2007-10-16 22:40:42

Re: особенности DNS

Непрочитанное сообщение BlackCat » 2007-11-18 1:08:48

Перекиньте трафик на fsb.ru, они буду рады ;-) Или на сервер БОРа, им не привыкать.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: особенности DNS

Непрочитанное сообщение Alex Keda » 2007-11-18 1:31:42

позвонил чуваку, разбудил.
выбил адрес :)
уже один киент ушёл, судя по счётчикам в файрволле.
самый первый долбится на мою мыльницу - я на ней эксперимент ставил :))
========
жалко что так поздно, и что один раз лоханулся ип пропустил - там десятка два висело с таймаутами, пока экспериметировал, каждые несколько секунд ломились.
так бы и они щас туда ушли.
к утру там будет весело :)
=======
жаль тока, что кроме апача ничё не нагрузиться - там нет дефолтвого хоста...
нy да ладно. всё веселей :) 1300 хостов по нескольку раз в секунду просящие страницу - даже на хорошей машине апачу будет несладко :)

Код: Выделить всё

serv# whois 209.85.63.194

OrgName:    Everyones Internet
OrgID:      EVRY
Address:    390 Benmar
Address:    Suite 200
City:       Houston
StateProv:  TX
PostalCode: 77060
Country:    US

ReferralServer: rwhois://rwhois.ev1servers.net:4321/

NetRange:   209.85.0.0 - 209.85.127.255
CIDR:       209.85.0.0/17
NetName:    EVRY-BLK-15
NetHandle:  NET-209-85-0-0-1
Parent:     NET-209-0-0-0-0
NetType:    Direct Allocation
NameServer: NS1.EV1SERVERS.NET
NameServer: NS2.EV1SERVERS.NET
Comment:
RegDate:    2005-12-14
Updated:    2006-11-28

RAbuseHandle: ABUSE477-ARIN
RAbuseName:   Abuse Department
RAbusePhone:  +1-713-579-2850
RAbuseEmail:  abuse@ev1servers.net

RNOCHandle: NOC1445-ARIN
RNOCName:   Noc
RNOCPhone:  +1-713-579-2850
RNOCEmail:  noc@ev1servers.net

OrgAbuseHandle: ABUSE271-ARIN
OrgAbuseName:   Abuse
OrgAbusePhone:  +1-214-782-7802
OrgAbuseEmail:  abuse@theplanet.com

OrgNOCHandle: NOC1445-ARIN
OrgNOCName:   Noc
OrgNOCPhone:  +1-713-579-2850
OrgNOCEmail:  noc@ev1servers.net

OrgTechHandle: VST3-ARIN
OrgTechName:   Stinson, Valarie
OrgTechPhone:  +1-713-579-2850
OrgTechEmail:  admin2@ev1servers.net

# ARIN WHOIS database, last updated 2007-11-16 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
serv#   
Убей их всех! Бог потом рассортирует...

Аватара пользователя
serge
майор
Сообщения: 2131
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: особенности DNS

Непрочитанное сообщение serge » 2007-11-18 12:26:33

Вариант более красивого решения
http://www.samag.ru/cgi-bin/go.pl?q=art ... .2007;a=02
З.Ы. Сам токо седня наткнулся :wink:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: особенности DNS

Непрочитанное сообщение Alex Keda » 2007-11-18 13:04:22

serge писал(а):Вариант более красивого решения
http://www.samag.ru/cgi-bin/go.pl?q=art ... .2007;a=02
З.Ы. Сам токо седня наткнулся :wink:
всё хорошо, но как ты предлагаешь динамически вносить в конфиг намеда полторы тысячи хостов?
======
а вообще - уже всё.
победили... видать змбированные компы кончились. в два ночи его всё же положили, после чего la был 80 - потом за полчасика устаканилось потихоньку.
на счётчике зарубленых пакетов - 16 миллионов, с момента последней перезагрузки.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
serge
майор
Сообщения: 2131
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: особенности DNS

Непрочитанное сообщение serge » 2007-11-18 13:32:35

lissyara писал(а):всё хорошо, но как ты предлагаешь динамически вносить в конфиг намеда полторы тысячи хостов?
гм... не подумал :roll:

prud
рядовой
Сообщения: 47
Зарегистрирован: 2007-09-28 14:18:24

Re: особенности DNS

Непрочитанное сообщение prud » 2007-11-19 9:00:22

Может стоит попробовать /usr/ports/dns/djbdns ? Вроде там легко подобная проблема решается.
В последнее время как раз по большей части это пользую, а не bind, единственный случай - надо было поднять dyn-dns - сделал на bind - показалось, что если кто разбираться будет после меня - с bind очевиднее.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: особенности DNS

Непрочитанное сообщение Alex Keda » 2007-11-19 9:17:06

не. я бинд уважаю - на нём инет стоит :)
========
что касается проблемы, ддосил уродец не только этот сервер, я обошлёся технически, а вот владелец другого накатал заяву в фсб :)))
После чего его прекратили и перекинули ресурсы на этот :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: особенности DNS

Непрочитанное сообщение Alex Keda » 2007-11-19 9:19:43

надо заметить, что несмотря на то что на сейчас ддос прекратился, запросы на резольв имён всё ещё идут от этих хостов.
думаю, какому-то сайту в инете приходиться нелегко :))
Убей их всех! Бог потом рассортирует...