Anzeige:
Ergebnis 1 bis 3 von 3

Thema: DoS Attacke? (versuchte A Auflösungen für isc.org oder ripe.net)

  1. 06.05.12, 14:43 #1
    Poison Nuke
    Poison Nuke ist offline
    Registrierter Benutzer Avatar von Poison Nuke
    Registriert seit
    Jun 2009
    Beiträge
    233

    DoS Attacke? (versuchte A Auflösungen für isc.org oder ripe.net)

    Hi,

    in letzter Zeit füllt sich mein Log massenhaft mit solchen Einträgen:


    Code:
     named[14185]: client 68.68.19.53#25345: query (cache) 'isc.org/ANY/IN' denied
    pro Sekunde so zwischen 2-20 Aufrufe. Entweder auf ripe.net oder isc.org

    da meine Nameserver keine rekursive Auflösung erlauben sondern einfach nur für ihre Domain zuständig sind, passiert natürlich nix, außer einem query denied. Die Auslastung ist auch vernachlässigbar. Es nervt aber einfach nur weil das log dadurch anschwillt.

    Aktuell banne ich die IPs über iptables und einem fail2ban. Nur die iptables füllen sich gerade ganz ordentlich mit IPs... so pro Stunde eine neue.

    von Freunden weiß ich, dass sie ähnliche Probleme auf ihren Nameservern haben, welche auch nur autoritativ für eine Domain zuständig sind. Bei Google finde ich aber leider nix hilfreiches bisher.


    Mich würde hauptsächlich interessieren was das überhaupt ist. Sind da vllt tausende DNS resolver falsch konfiguriert? Weil für ein DoS ist es bei weitem zu wenig, ist ja immer nur eine einzelne IP die dann innerhalb von ein paar Minuten tausende Anfragen auf eine Dom macht. Ergibt für mich keinen Sinn.
    viele Grüße

    www.poisonnuke.de
    Zitieren Zitieren
  2. 06.05.12, 14:48 #2
    DrunkenFreak
    DrunkenFreak ist offline
    Fieses Frettchen Avatar von DrunkenFreak
    Registriert seit
    Dec 2003
    Beiträge
    3.315
    Ein ähnliches Problem hatte ich auch. Da wird irgendwie versucht den anderen DNS lahmzulegen. Da du die rekursive Auflösung aber abgestellt hast, ist es relativ egal. Könntest höchstens Fail2ban draufpacken und schon hast du Ruhe.
    Zitieren Zitieren
  3. 06.05.12, 14:57 #3
    Poison Nuke
    Poison Nuke ist offline
    Registrierter Benutzer Avatar von Poison Nuke
    Registriert seit
    Jun 2009
    Beiträge
    233
    f2b ist ja wie geschrieben schon drauf.. daher fällt mir jetzt verstärkt auf wieviel das überhaupt ist, weil mein iptables innerhalb kürzester Zeit ziemlich viele Einträge bekommt.

    Ich hatte die resolver aber für ein paar Monate auch rekursiv laufen lassen, um selbst ein paar Sachen zu testen, da gab es diese Anfragen auch gab natürlich nur kein Log-Eintrag. Aber lahmgelegt hatte das auch nix. Oder geht es hier eher um eine langanhaltende DDoS auf die root-Server? Was ja auch keinen Sinn machen würde, die bekommt man ja mit keinem Bot-Netz der Welt platt würde ich mal behaupten.
    viele Grüße

    www.poisonnuke.de
    Zitieren Zitieren
« Vorheriges Thema | Nächstes Thema »

Ähnliche Themen

  1. DOS - ATTACKE. :( (******* java )
    Von -Sensemann- im Forum Meldungen und Mitglieder
    Antworten: 13
    Letzter Beitrag: 19.10.02, 18:52
  2. .procmail und die DoS Attacke gegen mich
    Von diane im Forum Linux als Server
    Antworten: 0
    Letzter Beitrag: 19.12.01, 23:34

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln