* Re: [sisyphus] как узнать, что флудит в 53 порт? @ 2013-02-28 13:08 ` George V. Kouryachy 2013-02-28 13:16 ` [sisyphus] как узнать порт? Sergey 2013-03-01 2:49 ` [sisyphus] как узнать, что флудит в 53 порт? Ildar Mulyukov 2 siblings, 1 reply; 6+ messages in thread From: George V. Kouryachy @ 2013-02-28 13:08 UTC (permalink / raw) To: ALT Linux Sisyphus discussions On Thu, Feb 28, 2013 at 04:23:22PM +0400, Michael Bykov wrote: > похоже, мой сервер стал флудить время от времени в 53 порт. Его мне даже > отключили сегодня в ринете. > Он постоянно отвечает кому-то на dns-запрос, хотя его и не спрашивал никто, > или спрашивал 1 раз кто-то. > > 16:15:17.565925 IP 95.31.2.145.11150 > 195.54.209.42.domain: 53214+ [1au] ANY? . (28) > 195.54.209.42 - это я Это запрос _от_ кого-то изнутри Корбины _к_ твоей машине. То есть всё наоборот в твоём примере. Можно потолще лог? -- Георгий Владимирович Курячий Эксперт компании "Альт Линукс" Mailto/JID: george@altlinux.org Mobile: (8)9161738325 ^ permalink raw reply [flat|nested] 6+ messages in thread
[parent not found: <CAN5SjAB=D4avj6775Qie-Zrb8=Hpt-=T_0d1jyEjgFHb-dRpxg@mail.gmail.com>]
* Re: [sisyphus] как узнать, что флудит в 53 порт? @ 2013-03-01 15:28 ` Igor Zubkov 0 siblings, 0 replies; 6+ messages in thread From: Igor Zubkov @ 2013-03-01 15:28 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 2013/2/28 Michael Bykov: > Хех. Я сгоряча сдистапгрейдился с перепугу. И сервер карточку не видит > сетевую теперь. Ни с NetworkM, ни без него. Может, завтра смогу победить, > тогда покажу, а может, и переустановлю систему, тогда логи погибнут. Если карта вайфайная, то даунгрейд wpa_supplicant до версии 0.7.3-alt3 случаем не поможет? У меня из-за нового wpa_supplicant вайфай не поднимается. -- Igor Zubkov http://hi.im/ice ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] как узнать порт? 2013-02-28 13:08 ` [sisyphus] как узнать, что флудит в 53 порт? George V. Kouryachy @ 2013-02-28 13:16 ` Sergey 2013-03-01 2:49 ` [sisyphus] как узнать, что флудит в 53 порт? Ildar Mulyukov 2 siblings, 1 reply; 6+ messages in thread From: Sergey @ 2013-02-28 13:16 UTC (permalink / raw) To: ALT Linux Sisyphus discussions On Thursday 28 February 2013, Michael Bykov wrote: > 16:15:17.565925 IP 95.31.2.145.11150 > 195.54.209.42.domain: 53214+ [1au] ANY? . (28) > 195.54.209.42 - это я > > Но как узнать, в чем дело? Я отключал все, что сам запускал - не влияет. > > Bind, dnsmask, А они точно отключены ? Может, недавно были включены ? Bind, например, с разрешёнными рекурсивными запросами. Вот народ и привык пользоваться, особенно, не очень хороший. Теперь так и будут лезть некоторое время. -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 6+ messages in thread
[parent not found: <CAN5SjAAyHCTiMCb8wAz5aTatSP11K8QMfBYv=LJxnBvKC96nAg@mail.gmail.com>]
* Re: [sisyphus] как узнать порт? @ 2013-02-28 21:17 ` Sergey Bolshakov 2013-03-01 3:00 ` Ildar Mulyukov 0 siblings, 1 reply; 6+ messages in thread From: Sergey Bolshakov @ 2013-02-28 21:17 UTC (permalink / raw) To: sisyphus >>>>> "Michael" == Michael Bykov <m.bykov-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes: [skipped] > Да, Bind был раньше включен. Я все отключал по очереди, и bind тоже, но > трафик не пропадал. Но вот Гоша определил, что это был входящий уже трафик. > Ага, вот в чем дело? Нужно закрыть внешний доступ к dns, понятно. > Но, тем не менее, на меня кто-то пожаловался. что от меня идут ответы на > мегабайты, - один и тот же ответ, точнее, - а не запросы. Значит, что-то в > Bind сломалось все же в тот момент. Видимо, Ваш bind кто-то просто использует в качестве стенки для reflection, указывая в качестве адреса источника udp-пакетов с запросами адрес третьей стороны-жертвы. -- ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] как узнать порт? 2013-02-28 21:17 ` Sergey Bolshakov @ 2013-03-01 3:00 ` Ildar Mulyukov 0 siblings, 0 replies; 6+ messages in thread From: Ildar Mulyukov @ 2013-03-01 3:00 UTC (permalink / raw) To: sisyphus On 01.03.2013 03:17:05, Sergey Bolshakov wrote: > Видимо, Ваш bind кто-то просто использует в качестве стенки для > reflection, указывая в качестве адреса источника udp-пакетов с > запросами адрес третьей стороны-жертвы. да -- Ildar ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] как узнать, что флудит в 53 порт? 2013-02-28 13:08 ` [sisyphus] как узнать, что флудит в 53 порт? George V. Kouryachy 2013-02-28 13:16 ` [sisyphus] как узнать порт? Sergey @ 2013-03-01 2:49 ` Ildar Mulyukov 2 siblings, 0 replies; 6+ messages in thread From: Ildar Mulyukov @ 2013-03-01 2:49 UTC (permalink / raw) To: sisyphus On 28.02.2013 18:23:22, Michael Bykov wrote: > Салют, > > похоже, мой сервер стал флудить время от времени в 53 порт. Его мне > даже > отключили сегодня в ринете. > > Он постоянно отвечает кому-то на dns-запрос, хотя его и не спрашивал > никто, > или спрашивал 1 раз кто-то. Доброе утро/день/вечер. 1. это тема для sysadmins@ 2. это DNS amplification attack. что это и как бороться - либо в гугле, либо давайте пойдём в sysadmins@ и там продолжим. Всего наилучшего -- Ildar Mulyukov, free SW designer/programmer/packager ====================================== email: ildar@altlinux.ru Jabber: ildar.mulyukov@gmail.com ICQ: 4334029 ALT Linux http://packages.altlinux.org/ru/Sisyphus/maintainers/ildar/ ====================================== ^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2013-03-01 15:28 UTC | newest] Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2013-02-28 13:08 ` [sisyphus] как узнать, что флудит в 53 порт? George V. Kouryachy 2013-03-01 15:28 ` Igor Zubkov 2013-02-28 13:16 ` [sisyphus] как узнать порт? Sergey 2013-02-28 21:17 ` Sergey Bolshakov 2013-03-01 3:00 ` Ildar Mulyukov 2013-03-01 2:49 ` [sisyphus] как узнать, что флудит в 53 порт? Ildar Mulyukov
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git