Re: [sisyphus] как узнать, что флудит в 53 порт?

Re: [sisyphus] как узнать, что флудит в 53 порт?

[George V. Kouryachy]

On Thu, Feb 28, 2013 at 04:23:22PM +0400, Michael Bykov wrote:
> похоже, мой сервер стал флудить время от времени в 53 порт. Его мне даже
> отключили сегодня в ринете.
> Он постоянно отвечает кому-то на dns-запрос, хотя его и не спрашивал никто,
> или спрашивал 1 раз кто-то.
> 
> 16:15:17.565925 IP 95.31.2.145.11150 > 195.54.209.42.domain: 53214+ [1au] ANY? . (28)
> 195.54.209.42 - это я
Это запрос _от_ кого-то изнутри Корбины _к_ твоей машине.
То есть всё наоборот в твоём примере. Можно потолще лог?


-- 
				  Георгий Владимирович Курячий
				  Эксперт компании "Альт Линукс"
				  Mailto/JID: george@altlinux.org
				  Mobile: (8)9161738325

Re: [sisyphus] как узнать порт?

[Sergey]

On Thursday 28 February 2013, Michael Bykov wrote:

> 16:15:17.565925 IP 95.31.2.145.11150 > 195.54.209.42.domain: 53214+ [1au] ANY? . (28)
> 195.54.209.42 - это я
> 
> Но как узнать, в чем дело? Я отключал все, что сам запускал - не влияет. 
> 
> Bind, dnsmask,

А они точно отключены ? Может, недавно были включены ? Bind, например,
с разрешёнными рекурсивными запросами. Вот народ и привык пользоваться,
особенно, не очень хороший. Теперь так и будут лезть некоторое время.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [sisyphus] как узнать порт?

[Sergey Bolshakov]

>>>>> "Michael" == Michael Bykov <m.bykov-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
[skipped]

 > Да, Bind был раньше включен. Я все отключал по очереди, и bind тоже, но
 > трафик не пропадал. Но вот Гоша определил, что это был входящий уже трафик.

 > Ага, вот в чем дело? Нужно закрыть внешний доступ к dns, понятно.

 > Но, тем не менее, на меня кто-то пожаловался. что от меня идут ответы на
 > мегабайты, - один и тот же ответ, точнее, - а не запросы. Значит, что-то в
 > Bind сломалось все же в тот момент.

Видимо, Ваш bind кто-то просто использует в качестве стенки для
reflection, указывая в качестве адреса источника udp-пакетов с
запросами адрес третьей стороны-жертвы.

-- 

Re: [sisyphus] как узнать, что флудит в 53 порт?

[Ildar Mulyukov]

On 28.02.2013 18:23:22, Michael Bykov wrote:
> Салют,
> 
> похоже, мой сервер стал флудить время от времени в 53 порт. Его мне  
> даже
> отключили сегодня в ринете.
> 
> Он постоянно отвечает кому-то на dns-запрос, хотя его и не спрашивал  
> никто,
> или спрашивал 1 раз кто-то.

	Доброе утро/день/вечер.
1. это тема для sysadmins@
2. это DNS amplification attack. что это и как бороться - либо в гугле,  
либо давайте пойдём в sysadmins@ и там продолжим.

Всего наилучшего
-- 
Ildar Mulyukov,
   free SW designer/programmer/packager
======================================
email: ildar@altlinux.ru
Jabber: ildar.mulyukov@gmail.com
ICQ: 4334029
ALT Linux http://packages.altlinux.org/ru/Sisyphus/maintainers/ildar/
======================================

Re: [sisyphus] как узнать порт?

[Ildar Mulyukov]

On 01.03.2013 03:17:05, Sergey Bolshakov wrote:
> Видимо, Ваш bind кто-то просто использует в качестве стенки для
> reflection, указывая в качестве адреса источника udp-пакетов с
> запросами адрес третьей стороны-жертвы.

да
-- 
Ildar

Re: [sisyphus] как узнать, что флудит в 53 порт?

[Igor Zubkov]

2013/2/28 Michael Bykov:
> Хех. Я сгоряча сдистапгрейдился с перепугу. И сервер карточку не видит
> сетевую теперь. Ни с NetworkM, ни без него. Может, завтра смогу победить,
> тогда покажу, а может, и переустановлю систему, тогда логи погибнут.

Если карта вайфайная, то даунгрейд wpa_supplicant до версии 0.7.3-alt3
случаем не поможет? У меня из-за нового wpa_supplicant вайфай не
поднимается.

-- 
Igor Zubkov
http://hi.im/ice