Poison Nuke
06.05.12, 14:43
Hi,
in letzter Zeit füllt sich mein Log massenhaft mit solchen Einträgen:
named[14185]: client 68.68.19.53#25345: query (cache) 'isc.org/ANY/IN' denied
pro Sekunde so zwischen 2-20 Aufrufe. Entweder auf ripe.net oder isc.org
da meine Nameserver keine rekursive Auflösung erlauben sondern einfach nur für ihre Domain zuständig sind, passiert natürlich nix, außer einem query denied. Die Auslastung ist auch vernachlässigbar. Es nervt aber einfach nur weil das log dadurch anschwillt.
Aktuell banne ich die IPs über iptables und einem fail2ban. Nur die iptables füllen sich gerade ganz ordentlich mit IPs... so pro Stunde eine neue.
von Freunden weiß ich, dass sie ähnliche Probleme auf ihren Nameservern haben, welche auch nur autoritativ für eine Domain zuständig sind. Bei Google finde ich aber leider nix hilfreiches bisher.
Mich würde hauptsächlich interessieren was das überhaupt ist. Sind da vllt tausende DNS resolver falsch konfiguriert? Weil für ein DoS ist es bei weitem zu wenig, ist ja immer nur eine einzelne IP die dann innerhalb von ein paar Minuten tausende Anfragen auf eine Dom macht. Ergibt für mich keinen Sinn. :confused:
in letzter Zeit füllt sich mein Log massenhaft mit solchen Einträgen:
named[14185]: client 68.68.19.53#25345: query (cache) 'isc.org/ANY/IN' denied
pro Sekunde so zwischen 2-20 Aufrufe. Entweder auf ripe.net oder isc.org
da meine Nameserver keine rekursive Auflösung erlauben sondern einfach nur für ihre Domain zuständig sind, passiert natürlich nix, außer einem query denied. Die Auslastung ist auch vernachlässigbar. Es nervt aber einfach nur weil das log dadurch anschwillt.
Aktuell banne ich die IPs über iptables und einem fail2ban. Nur die iptables füllen sich gerade ganz ordentlich mit IPs... so pro Stunde eine neue.
von Freunden weiß ich, dass sie ähnliche Probleme auf ihren Nameservern haben, welche auch nur autoritativ für eine Domain zuständig sind. Bei Google finde ich aber leider nix hilfreiches bisher.
Mich würde hauptsächlich interessieren was das überhaupt ist. Sind da vllt tausende DNS resolver falsch konfiguriert? Weil für ein DoS ist es bei weitem zu wenig, ist ja immer nur eine einzelne IP die dann innerhalb von ein paar Minuten tausende Anfragen auf eine Dom macht. Ergibt für mich keinen Sinn. :confused: