Hi,

in letzter Zeit füllt sich mein Log massenhaft mit solchen Einträgen:



named[14185]: client 68.68.19.53#25345: query (cache) 'isc.org/ANY/IN' denied


pro Sekunde so zwischen 2-20 Aufrufe. Entweder auf ripe.net oder isc.org

da meine Nameserver keine rekursive Auflösung erlauben sondern einfach nur für ihre Domain zuständig sind, passiert natürlich nix, außer einem query denied. Die Auslastung ist auch vernachlässigbar. Es nervt aber einfach nur weil das log dadurch anschwillt.

Aktuell banne ich die IPs über iptables und einem fail2ban. Nur die iptables füllen sich gerade ganz ordentlich mit IPs... so pro Stunde eine neue.

von Freunden weiß ich, dass sie ähnliche Probleme auf ihren Nameservern haben, welche auch nur autoritativ für eine Domain zuständig sind. Bei Google finde ich aber leider nix hilfreiches bisher.


Mich würde hauptsächlich interessieren was das überhaupt ist. Sind da vllt tausende DNS resolver falsch konfiguriert? Weil für ein DoS ist es bei weitem zu wenig, ist ja immer nur eine einzelne IP die dann innerhalb von ein paar Minuten tausende Anfragen auf eine Dom macht. Ergibt für mich keinen Sinn. :confused:

Ein ähnliches Problem hatte ich auch. Da wird irgendwie versucht den anderen DNS lahmzulegen. Da du die rekursive Auflösung aber abgestellt hast, ist es relativ egal. Könntest höchstens Fail2ban draufpacken und schon hast du Ruhe.

f2b ist ja wie geschrieben schon drauf.. daher fällt mir jetzt verstärkt auf wieviel das überhaupt ist, weil mein iptables innerhalb kürzester Zeit ziemlich viele Einträge bekommt.

Ich hatte die resolver aber für ein paar Monate auch rekursiv laufen lassen, um selbst ein paar Sachen zu testen, da gab es diese Anfragen auch gab natürlich nur kein Log-Eintrag. Aber lahmgelegt hatte das auch nix. Oder geht es hier eher um eine langanhaltende DDoS auf die root-Server? Was ja auch keinen Sinn machen würde, die bekommt man ja mit keinem Bot-Netz der Welt platt würde ich mal behaupten.