* [Sysadmins] DNS атаки
@ 2009-03-04 13:10 Konstantin Orloff
2009-03-04 13:29 ` Motsyo Gennadi aka Drool
` (2 more replies)
0 siblings, 3 replies; 5+ messages in thread
From: Konstantin Orloff @ 2009-03-04 13:10 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте.
Ни у кого случаем не наблюдается массовых запросов к ДНС серверам в
последнее время?
Меня уже достал какой-то ип 62.109.4.89 (invest-pool.ru).
По несколько запросов в секунду. Поставил на него DROP в фаерволе.
Может есть более правильное решение?
--
С уважением,
зам.нач.ИВЦ ОАО Каменскволокно
Константин Орлов mailto:orloff@aramid.ru
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] DNS атаки
2009-03-04 13:10 [Sysadmins] DNS атаки Konstantin Orloff
@ 2009-03-04 13:29 ` Motsyo Gennadi aka Drool
2009-03-04 13:40 ` Konstantin Orloff
2009-03-04 13:34 ` Sergey
2009-03-04 14:30 ` Roman Lesnichenko
2 siblings, 1 reply; 5+ messages in thread
From: Motsyo Gennadi aka Drool @ 2009-03-04 13:29 UTC (permalink / raw)
To: Konstantin Orloff, ALT Linux sysadmin discuss
Konstantin Orloff пишет:
> Здравствуйте.
>
> Ни у кого случаем не наблюдается массовых запросов к ДНС серверам в
> последнее время?
>
> Меня уже достал какой-то ип 62.109.4.89 (invest-pool.ru).
> По несколько запросов в секунду. Поставил на него DROP в фаерволе.
> Может есть более правильное решение?
Kido, Kraken?
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] DNS атаки
2009-03-04 13:10 [Sysadmins] DNS атаки Konstantin Orloff
2009-03-04 13:29 ` Motsyo Gennadi aka Drool
@ 2009-03-04 13:34 ` Sergey
2009-03-04 14:30 ` Roman Lesnichenko
2 siblings, 0 replies; 5+ messages in thread
From: Sergey @ 2009-03-04 13:34 UTC (permalink / raw)
To: Konstantin Orloff, ALT Linux sysadmin discuss
On Wednesday 04 March 2009, Konstantin Orloff wrote:
> Ни у кого случаем не наблюдается массовых запросов к ДНС серверам в
> последнее время?
>
> Меня уже достал какой-то ип 62.109.4.89 (invest-pool.ru).
> По несколько запросов в секунду. Поставил на него DROP в фаерволе.
> Может есть более правильное решение?
что-то вроде
options {
allow-recursion { MyNetwork; };
}
acl "MyNetwork" { 10.0.0.0/8; 192.168.0.0/16; };
?
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] DNS атаки
2009-03-04 13:29 ` Motsyo Gennadi aka Drool
@ 2009-03-04 13:40 ` Konstantin Orloff
0 siblings, 0 replies; 5+ messages in thread
From: Konstantin Orloff @ 2009-03-04 13:40 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте.
Вы писали 4 марта 2009 г., 16:29:34:
>> Ни у кого случаем не наблюдается массовых запросов к ДНС серверам в
>> последнее время?
> Kido, Kraken?
Не знаю, что там с той (WAN) стороны за зверьки, мне это не очень
интересно.
Вот тут нашел - ситуация как у меня...
http://isc.sans.org/diary.html?storyid=5713
--
С уважением,
зам.нач.ИВЦ ОАО Каменскволокно
Константин Орлов mailto:orloff@aramid.ru
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] DNS атаки
2009-03-04 13:10 [Sysadmins] DNS атаки Konstantin Orloff
2009-03-04 13:29 ` Motsyo Gennadi aka Drool
2009-03-04 13:34 ` Sergey
@ 2009-03-04 14:30 ` Roman Lesnichenko
2 siblings, 0 replies; 5+ messages in thread
From: Roman Lesnichenko @ 2009-03-04 14:30 UTC (permalink / raw)
To: Konstantin Orloff, ALT Linux sysadmin discuss
Konstantin Orloff пишет:
> Здравствуйте.
>
> Ни у кого случаем не наблюдается массовых запросов к ДНС серверам в
> последнее время?
>
> Меня уже достал какой-то ип 62.109.4.89 (invest-pool.ru).
> По несколько запросов в секунду. Поставил на него DROP в фаерволе.
> Может есть более правильное решение?
Я написал им на abuse в конце февраля и получил следующий ответ :)
>-------------------------------------------------------------------
Здравствуйте.
Сервер отключен 3 дня назад
Идёт ДДоС атака на наш сервер 62.109.4.89
Кто то рассылает запросы с поддельным адресом отправителя.
Зафильтруйте его на неделю-две.
Александр, AbuseTeam
Roman Lesnichenko wrote:
> Доброй ночи.
>
> Достал придурок мне в ДНС долбиться... Третьи сутки уже пошли.
>
> Feb 20 01:18:01 avangate named[5013]: client 62.109.4.89#49778: view
> external: query (cache) './NS/IN' denied
> Feb 20 01:18:01 avangate named[5013]: client 62.109.4.89#9609: view
> external: query (cache) './NS/IN' denied
> Feb 20 01:18:03 avangate named[5013]: client 62.109.4.89#12184: view
> external: query (cache) './NS/IN' denied
> Feb 20 01:18:05 avangate named[5013]: client 62.109.4.89#60674: view
> external: query (cache) './NS/IN' denied
> Feb 20 01:18:05 avangate named[5013]: client 62.109.4.89#56958: view
> external: query (cache) './NS/IN' denied
> Feb 20 01:18:08 avangate named[5013]: client 62.109.4.89#55579: view
> external: query (cache) './NS/IN' denied
> Feb 20 01:18:08 avangate named[5013]: client 62.109.4.89#44357: view
> external: query (cache) './NS/IN' denied
> Feb 20 01:18:09 avangate named[5013]: client 62.109.4.89#38281: view
> external: query (cache) './NS/IN' denied
>
>
> С уважением, Роман.
>----------------------------------------------------------------------
Пришлось задропать.
Роман.
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2009-03-04 14:30 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-03-04 13:10 [Sysadmins] DNS атаки Konstantin Orloff
2009-03-04 13:29 ` Motsyo Gennadi aka Drool
2009-03-04 13:40 ` Konstantin Orloff
2009-03-04 13:34 ` Sergey
2009-03-04 14:30 ` Roman Lesnichenko
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git