в принципе, можно запреить им не только tcp но и udp - через некоторое время они будут тваливаться не в силах узанть, что им досить.
но. так не интересно.
что было сделано - подвешен второй процесс намеда на нештатный порт (1053).
переписана зона на один из доступных мне хостов, вместо того, который ддосят.
добавлено правило в файрволл:
Код: Выделить всё
00603 16 912 fwd 77.221.137.170,1053 udp from table(2) to me dst-port 53
что имеем - намеду призодит запрос, он отдаёт ответ.
сервер
Код: Выделить всё
00:17:49.652000 IP 89.235.137.98.adsl.sta.mcn.ru.59185 > serv.hos-ting.ru.domain: 17233+[|domain]
00:17:49.654944 IP serv.hos-ting.ru.1053 > 89.235.137.98.adsl.sta.mcn.ru.59185: UDP, length 92
00:17:54.651666 IP 89.235.137.98.adsl.sta.mcn.ru.59185 > serv.hos-ting.ru.domain: 17233+[|domain]
00:17:54.651928 IP serv.hos-ting.ru.1053 > 89.235.137.98.adsl.sta.mcn.ru.59185: UDP, length 92
Код: Выделить всё
00:18:01.360164 IP 89.235.137.98.adsl.sta.mcn.ru.59185 > serv.hos-ting.ru.domain: 17233+ A? orechka.net. (29)
00:18:01.428098 IP serv.hos-ting.ru.1053 > 89.235.137.98.adsl.sta.mcn.ru.59185: UDP, length 92
00:18:06.360633 IP 89.235.137.98.adsl.sta.mcn.ru.59185 > serv.hos-ting.ru.domain: 17233+ A? orechka.net. (29)
00:18:06.424978 IP serv.hos-ting.ru.1053 > 89.235.137.98.adsl.sta.mcn.ru.59185: UDP, length 92
Код: Выделить всё
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: UDP request
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: using view '_default'
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: request is not signed
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: recursion available
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: query
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: ns_client_attach: ref = 1
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: query 'orechka.net/A/IN' approved
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: send
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: sendto
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: senddone
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: next
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: ns_client_detach: ref = 0
18-Nov-2007 00:17:49.654 client 89.235.137.98#59185: endrequest
18-Nov-2007 00:17:49.654 client @0x81a8c00: udprecv
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: UDP request
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: using view '_default'
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: request is not signed
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: recursion available
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: query
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: ns_client_attach: ref = 1
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: query 'orechka.net/A/IN' approved
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: send
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: sendto
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: senddone
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: next
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: ns_client_detach: ref = 0
18-Nov-2007 00:17:54.651 client 89.235.137.98#59185: endrequest
18-Nov-2007 00:17:54.651 client @0x81a8c00: udprecv
Код: Выделить всё
mail# host orechka.net 77.221.137.170
;; connection timed out; no servers could be reached
mail#
идеи есть?
собсно - идея в том, что хозяин хостинга знает сайт ддосящего болвана.
хотелось насолить... так бы прописал его IP и все компы в течение некоторогов ремени перенаправили бы запросы на его сайт...
может ещё идеи есть?