Непонятное в логах bind

было что то подобное недавно типа dns ддос - писало в гигабайты в syslog на debian - поставил fail2ban , подкрутил правило и он их сразу забанил за множественные обращения к bind в секунду

Logger прав, попробуйте для начала забанить эти IP адеса

Оk, попробую.

Но в 2 недели ддоса верится с трудом.

Почему? Тут же не говорится что вам 200 GB/s заливают канал, да , такое содержать в течении недели практически не возможно, а тут я так понимаю 30 GB натикало за 2 недели? 2 GB в сутки? 89 Мегабайт в час? 1,4 мегабайта в минуту, 23 килобайта в секунду? это около 200kbit ;) Такой DDOS можно годами поливать :D Вопрос лишь в том, ддос ли это :D Такой дос я наверное и не смог бы определить на графиках 10G полосы (да даже на 1Gb/s полосе вычленить 200kbit/s это бред) :D ДЦ через 2 недели начал только говорить о соотношении.

Причем трафик то исходящий :D Но это видимо ответы ДНС-а ? :) У вас что-то не работает при этом? или просто трафика много? :)

А по хорошему вверху правильно сказали, надо или автоматом банить или на основе имеющихся данных.

cat /var/log/вот_тот_лог_файл_из_поста#1 | awk '{print $6}' | cut -d# -f1 |sort -n | uniq -c

Находите неоспоримых лидеров и в баню их любым удобным способом. Очищаете лог (если бекап не нужен то можно просто echo -n > /var/log/xxxx). Через 15-20 минут снова выполняете выше описанную команду и смотрите не появилось ли за последние 15 минут новых "лидеров". Окончанием блокирования - есть состояние, при котором за последние 15-20 минут вывод показывает "приблизительно одинаковое кол-во запросов для всех хостов которые обращаются", без фанатизма, они не должны совпадать буквально ))) но когда у вас TOP #1 - сделал за 15 минут 1000 запросов , а при этом TOP #2 - TOP #10 сделали в среднем по 100 запросов за то же время.. должно быть интуитивно понятно кто лидер :D

Romka_Kharkov, я имел в виду только целесообразность.

Я не знаю что это, потому и спрашивал.

Все работает, bind отъедает в среднем 2-3% CPU, обидно лишнюю денежку за соотношение платить непонятно из-за чего.

За советы спасибо, буду пробовать.

Рекурсивные запросы закрыты от внешних сетей?

Вполне может быть что днс-шторм идет.

Квалификации ответить не хватает.

Как это можно определить?

Выполните в шелле: dig @ip-вашего-dns yandex.ru и посмотрите на ответ.

Сейчас выяснится что он openrelay для половины китая :D Такой вот себе дос :D

Судя по логам, скорее для половины Штатов и Германии.

dig @ip-моего-dns yandex.ru

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.2 <<>> @ip-моего-dns yandex.ru
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52978
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;yandex.ru.                     IN      A

;; ANSWER SECTION:
yandex.ru.              3600    IN      A       93.158.134.11
yandex.ru.              3600    IN      A       213.180.193.11
yandex.ru.              3600    IN      A       213.180.204.11
yandex.ru.              3600    IN      A       77.88.21.11
yandex.ru.              3600    IN      A       87.250.250.11
yandex.ru.              3600    IN      A       87.250.251.11

;; AUTHORITY SECTION:
yandex.ru.              345600  IN      NS      ns4.yandex.ru.
yandex.ru.              345600  IN      NS      ns1.yandex.ru.
yandex.ru.              345600  IN      NS      ns2.yandex.ru.

;; Query time: 150 msec
;; SERVER: ip-моего-dns#53(ip-моего-dns)
;; WHEN: Tue Aug  7 03:02:20 2012
;; MSG SIZE  rcvd: 177

Я так понимаю, что это очень плохо ...

И что теперь?

---------- Добавлено 07.08.2012 в 03:46 ----------

В named.conf, в options добавил

	allow-recursion {

		127.0.0.1;

		};

Теперь dig выдает следующее:

dig @ip-моего-dns yandex.ru



; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.2 <<>> @ip-моего-dns yandex.ru

; (1 server found)

;; global options:  printcmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 18746

;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0



;; QUESTION SECTION:

;yandex.ru.                     IN      A



;; Query time: 9 msec

;; SERVER: ip-моего-dns#53(ip-моего-dns)

;; WHEN: Tue Aug  7 03:39:19 2012

;; MSG SIZE  rcvd: 27

Теперь только ждать? Или еще что-то можно сделать? И насколько правильно в списке указывать только 127.0.0.1?