Informática Numaboa
Você tem servidores DNS? Abra os olhos!
Qui 19 Fev 2009 20:47 |
- Detalhes
- Categoria: + Linux
- Atualização: Sábado, 09 Junho 2012 18:24
- Autor: vovó Vicki
- Acessos: 7938
Há algumas semanas atrás notei que os arquivos de log dos meus servidores de nomes estavam inchando pra caramba. Dei uma olhada e fiquei estarrecida. Era pelo menos uma solicitação por segundo vinda de um determinado endereço IP. Viiiixiiii!!!
Se você também tem servidores DNS e seus arquivos de log estão começando a ficar inchados demais, dê uma lida no que tenho a dizer.
Além dos vilões, servidores DNS mal configurados
O endereço que estava detonando meus logs era 89.149.221.182. Resolvi jogar o endereço no Google para ver no que dava e acabei achando o seguinte no SANS: "Several folks are reporting odd queries hitting their DNS servers at a steady rate of about two per second. The queries invariably ask for the name server of the domain "." (NS query for a single dot). Since "." is a query for the root name servers, it has a very short query packet but a pretty long answer. Our current theory therefore is that this is a denial of service (DoS) attack in progress, where the DNS servers are used as "amplifiers" and unwittingly flood the (spoofed) source by providing a long answer to a system which never asked".
Isto significa que: Muitas pessoas estão informando que solicitações estranhas estão sendo dirigidas para seus servidores DNS numa frequência de cerca de duas por segundo. As solicitações invariavelmente pedem o nome do servidor do domínio ".". Como "." é uma solicitação para os servidores raiz, a query é um pacote muito pequeno, mas a resposta é bastante longa. Nossa teoria no momento é que se trata de um ataque DoS (denial of service) em andamento onde os servidores DNS estão sendo usados como "amplificadores" e, estando mal configurados, dão uma resposta longa para um sistema que não fez a pergunta.
Dá para imaginar o estrago? Espero que seu servidor DNS esteja respondendo com DENY, senão vai entrar na ciranda. Se não responder com DENY, seu servidor não tem a resposta e vai acionar outros servidores DNS.
Não achei outra saída
Meus servidores DNS estavam respondendo com DENY, mas, mesmo assim, os arquivos de log estavam tomando proporções imensas. Não achei outra saída: apelei para o iptables. Fiquei de olho nestes IPs mal-comportados (já cacei 4) e os coloquei no iptables com:
# iptables -A INPUT -s 89.149.221.182 -j DROP # iptables -A INPUT -s 195.68.176.4 -j DROP # iptables -A INPUT -s 82.146.35.143 -j DROP # iptables -A INPUT -s 62.109.4.89 -j DROP
Com isto bloqueei os IPs que estavam causando estrago (mesmo que não propositalmente) e sou obrigada a continuar monitorando o que acontece com os meus DNS até que este DoS dê sossego, porque não encontrei maneira melhor de impedir que derrubem meus servidores entupindo os HDs com logs gigantescos.
Espero ter contribuído