Aldeia Numaboa
Um portal diferente em Português do Brasil
Informática da Aldeia

Tutoriais
Home Informática Linux Dicas Você tem servidores DNS? Abra os olhos!

Informática

Novo na Info

Segurança na área administrativa do Joomla

UNIX - a história do precursor do Linux

Joomla e Smilies

Envio de emails pelo Joomla

Entidades caractere do HTML

Na Aldeia

Há 84 visitantes online

3290 registros
3 hoje
8 nesta semana
25 neste mês

Boas vindas: Celio

Estatística

Artigos: 1062
Leituras: 6002411
Arquivados: 21
Downloads: 533
Baixados: 171050
Glossário: 1208
Bibliografia: 25
Links: 90

Visitas de onde

Top 5:
Brasil flag 73%Brasil (35999)
Portugal flag 4%Portugal (2217)
EUA flag 3%EUA (1714)
Holanda flag 0%Holanda (235)
Rússia flag 0%Rússia (207)
49562 visitas de 97 países

Hoje:2611
Ontem:2653
No mês:23747
Mês passado:25815
Total:49562
Recorde:3037
No dia:04.03.10
Leituras hoje:12163
Leituras Total:214791
Bots hoje:326
Dados desde:16.02.2010

Login



Kanji da hora




Faça contato






Qui

19

Fev

2009


20:47
Você tem servidores DNS? Abra os olhos! PDF Imprimir Indique esta página
(13 votos, média 4.9 de 5)
Escrito por vovó Vicki   


Há algumas semanas atrás notei que os arquivos de log dos meus servidores de nomes estavam inchando pra caramba. Dei uma olhada e fiquei estarrecida. Era pelo menos uma solicitação por segundo vinda de um determinado endereço IP. Viiiixiiii!!!

Se você também tem servidores DNS e seus arquivos de log estão começando a ficar inchados demais, dê uma lida no que tenho a dizer.

Além dos vilões, servidores DNS mal configurados

O endereço que estava detonando meus logs era 89.149.221.182. Resolvi jogar o endereço no Google para ver no que dava e acabei achando o seguinte no SANS: "Several folks are reporting odd queries hitting their DNS servers at a steady rate of about two per second. The queries invariably ask for the name server of the domain "." (NS query for a single dot). Since "." is a query for the root name servers, it has a very short query packet but a pretty long answer. Our current theory therefore is that this is a denial of service (DoS) attack in progress, where the DNS servers are used as "amplifiers" and unwittingly flood the (spoofed) source by providing a long answer to a system which never asked".

Isto significa que: Muitas pessoas estão informando que solicitações estranhas estão sendo dirigidas para seus servidores DNS numa frequência de cerca de duas por segundo. As solicitações invariavelmente pedem o nome do servidor do domínio ".". Como "." é uma solicitação para os servidores raiz, a query é um pacote muito pequeno, mas a resposta é bastante longa. Nossa teoria no momento é que se trata de um ataque DoS (denial of service) em andamento onde os servidores DNS estão sendo usados como "amplificadores" e, estando mal configurados, dão uma resposta longa para um sistema que não fez a pergunta.

Dá para imaginar o estrago? Espero que seu servidor DNS esteja respondendo com DENY, senão vai entrar na ciranda. Se não responder com DENY, seu servidor não tem a resposta e vai acionar outros servidores DNS.

Não achei outra saída

Meus servidores DNS estavam respondendo com DENY, mas, mesmo assim, os arquivos de log estavam tomando proporções imensas. Não achei outra saída: apelei para o iptables. Fiquei de olho nestes IPs mal-comportados (já cacei 4) e os coloquei no iptables com:

# iptables -A INPUT -s 89.149.221.182 -j DROP
# iptables -A INPUT -s 195.68.176.4 -j DROP
# iptables -A INPUT -s 82.146.35.143 -j DROP
# iptables -A INPUT -s 62.109.4.89 -j DROP

Com isto bloqueei os IPs que estavam causando estrago (mesmo que não propositalmente) e sou obrigada a continuar monitorando o que acontece com os meus DNS até que este DoS dê sossego, porque não encontrei maneira melhor de impedir que derrubem meus servidores entupindo os HDs com logs gigantescos.

Espero ter contribuído vovo Vicki
Última atualização ( Qua, 25.02.2009 19:39 )
 

Topo

Topo

Exceto onde especificamente citado, todo material deste site está sob Licença Creative Commons