* Re: [sisyphus] как узнать, что флудит в 53 порт?
@ 2013-02-28 13:08 ` George V. Kouryachy
2013-02-28 13:16 ` [sisyphus] как узнать порт? Sergey
2013-03-01 2:49 ` [sisyphus] как узнать, что флудит в 53 порт? Ildar Mulyukov
2 siblings, 1 reply; 6+ messages in thread
From: George V. Kouryachy @ 2013-02-28 13:08 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Thu, Feb 28, 2013 at 04:23:22PM +0400, Michael Bykov wrote:
> похоже, мой сервер стал флудить время от времени в 53 порт. Его мне даже
> отключили сегодня в ринете.
> Он постоянно отвечает кому-то на dns-запрос, хотя его и не спрашивал никто,
> или спрашивал 1 раз кто-то.
>
> 16:15:17.565925 IP 95.31.2.145.11150 > 195.54.209.42.domain: 53214+ [1au] ANY? . (28)
> 195.54.209.42 - это я
Это запрос _от_ кого-то изнутри Корбины _к_ твоей машине.
То есть всё наоборот в твоём примере. Можно потолще лог?
--
Георгий Владимирович Курячий
Эксперт компании "Альт Линукс"
Mailto/JID: george@altlinux.org
Mobile: (8)9161738325
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] как узнать порт?
2013-02-28 13:08 ` [sisyphus] как узнать, что флудит в 53 порт? George V. Kouryachy
@ 2013-02-28 13:16 ` Sergey
2013-03-01 2:49 ` [sisyphus] как узнать, что флудит в 53 порт? Ildar Mulyukov
2 siblings, 1 reply; 6+ messages in thread
From: Sergey @ 2013-02-28 13:16 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Thursday 28 February 2013, Michael Bykov wrote:
> 16:15:17.565925 IP 95.31.2.145.11150 > 195.54.209.42.domain: 53214+ [1au] ANY? . (28)
> 195.54.209.42 - это я
>
> Но как узнать, в чем дело? Я отключал все, что сам запускал - не влияет.
>
> Bind, dnsmask,
А они точно отключены ? Может, недавно были включены ? Bind, например,
с разрешёнными рекурсивными запросами. Вот народ и привык пользоваться,
особенно, не очень хороший. Теперь так и будут лезть некоторое время.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] как узнать порт?
@ 2013-02-28 21:17 ` Sergey Bolshakov
2013-03-01 3:00 ` Ildar Mulyukov
0 siblings, 1 reply; 6+ messages in thread
From: Sergey Bolshakov @ 2013-02-28 21:17 UTC (permalink / raw)
To: sisyphus
>>>>> "Michael" == Michael Bykov <m.bykov-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
[skipped]
> Да, Bind был раньше включен. Я все отключал по очереди, и bind тоже, но
> трафик не пропадал. Но вот Гоша определил, что это был входящий уже трафик.
> Ага, вот в чем дело? Нужно закрыть внешний доступ к dns, понятно.
> Но, тем не менее, на меня кто-то пожаловался. что от меня идут ответы на
> мегабайты, - один и тот же ответ, точнее, - а не запросы. Значит, что-то в
> Bind сломалось все же в тот момент.
Видимо, Ваш bind кто-то просто использует в качестве стенки для
reflection, указывая в качестве адреса источника udp-пакетов с
запросами адрес третьей стороны-жертвы.
--
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] как узнать, что флудит в 53 порт?
2013-02-28 13:08 ` [sisyphus] как узнать, что флудит в 53 порт? George V. Kouryachy
2013-02-28 13:16 ` [sisyphus] как узнать порт? Sergey
@ 2013-03-01 2:49 ` Ildar Mulyukov
2 siblings, 0 replies; 6+ messages in thread
From: Ildar Mulyukov @ 2013-03-01 2:49 UTC (permalink / raw)
To: sisyphus
On 28.02.2013 18:23:22, Michael Bykov wrote:
> Салют,
>
> похоже, мой сервер стал флудить время от времени в 53 порт. Его мне
> даже
> отключили сегодня в ринете.
>
> Он постоянно отвечает кому-то на dns-запрос, хотя его и не спрашивал
> никто,
> или спрашивал 1 раз кто-то.
Доброе утро/день/вечер.
1. это тема для sysadmins@
2. это DNS amplification attack. что это и как бороться - либо в гугле,
либо давайте пойдём в sysadmins@ и там продолжим.
Всего наилучшего
--
Ildar Mulyukov,
free SW designer/programmer/packager
======================================
email: ildar@altlinux.ru
Jabber: ildar.mulyukov@gmail.com
ICQ: 4334029
ALT Linux http://packages.altlinux.org/ru/Sisyphus/maintainers/ildar/
======================================
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] как узнать порт?
2013-02-28 21:17 ` Sergey Bolshakov
@ 2013-03-01 3:00 ` Ildar Mulyukov
0 siblings, 0 replies; 6+ messages in thread
From: Ildar Mulyukov @ 2013-03-01 3:00 UTC (permalink / raw)
To: sisyphus
On 01.03.2013 03:17:05, Sergey Bolshakov wrote:
> Видимо, Ваш bind кто-то просто использует в качестве стенки для
> reflection, указывая в качестве адреса источника udp-пакетов с
> запросами адрес третьей стороны-жертвы.
да
--
Ildar
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] как узнать, что флудит в 53 порт?
@ 2013-03-01 15:28 ` Igor Zubkov
0 siblings, 0 replies; 6+ messages in thread
From: Igor Zubkov @ 2013-03-01 15:28 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
2013/2/28 Michael Bykov:
> Хех. Я сгоряча сдистапгрейдился с перепугу. И сервер карточку не видит
> сетевую теперь. Ни с NetworkM, ни без него. Может, завтра смогу победить,
> тогда покажу, а может, и переустановлю систему, тогда логи погибнут.
Если карта вайфайная, то даунгрейд wpa_supplicant до версии 0.7.3-alt3
случаем не поможет? У меня из-за нового wpa_supplicant вайфай не
поднимается.
--
Igor Zubkov
http://hi.im/ice
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2013-03-01 15:28 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2013-02-28 13:08 ` [sisyphus] как узнать, что флудит в 53 порт? George V. Kouryachy
2013-03-01 15:28 ` Igor Zubkov
2013-02-28 13:16 ` [sisyphus] как узнать порт? Sergey
2013-02-28 21:17 ` Sergey Bolshakov
2013-03-01 3:00 ` Ildar Mulyukov
2013-03-01 2:49 ` [sisyphus] как узнать, что флудит в 53 порт? Ildar Mulyukov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git