Open recursive resolver - как закрыть?

12 3
aprika
На сайте с 05.06.2006
Offline
144
8960

Хостер прислал абузу о том, что виртуальный сервер функционирует как open recursive resolver и поучаствовал а какой-то атаке, "generating large UDP responses to spoofed queries". Если такое повторится, сервер обещают прикрыть :(А как закрыть этот open DNS resolver, каким образом это делается, так чтоб доступ к сайтам обычные посетители не потеряли? В сети одни только тестеры этих Open Resolvers, а как это дело предотвратить, рецептов никто не дает. :(

ОС, если это важно, - centos. Где там эти настройки находятся?

(◕‿◕)
Den73
На сайте с 26.06.2010
Offline
523
#1

раз сервер взяли так учитесь читать документацию по используемому софту или платите тем кто это сделает за вас.

aprika
На сайте с 05.06.2006
Offline
144
#2
Den73:
раз сервер взяли так учитесь читать документацию по используемому софту или платите тем кто это сделает за вас.

Хотела добавить, что таких ответов, плз, не надо! Однако уже успели отметиться - спасибо, слив засчитан. Надеюсь все же, что в топик заглянет кто-нибудь добрее или не такой крутой, способный снизойти до простых смертных.

S
На сайте с 09.10.2007
Offline
186
#3

важно какой днс сервер у вас стоит. в зависимости от этого и настройки.

в принципе, если запросы только с локалхоста можно так

iptables -I INPUT 1 53 -p udp --src-port -j DROP

Удобная панель для доменных имен (http://panel.started.ru/) с массовыми операциями. Индивидуальные цены по запросу.
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#4

aprika, выполните следующее:


ps auxw|grep -viE '(bind|named|dns|recur|pdns)'

А так же не помешает


netstat -lnp |grep 53

Результат покажите сюда, станет ясно что у вас за DNS сервер, потом подскажем как отключить рекурсию.

А принципиальный смысл указанной вам атаки, буквально недавно обсуждался вот тут вот.

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
aprika
На сайте с 05.06.2006
Offline
144
#5
Romka_Kharkov:
aprika, выполните следующее:

ps auxw|grep -viE '(bind|named|dns|recur|pdns)'

А так же не помешает

netstat -lnp |grep 53

Результат покажите сюда, станет ясно что у вас за DNS сервер, потом подскажем как отключить рекурсию.

Первое:


USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.1 2176 724 ? Ss 2013 0:01 init [3]
root 2 0.0 0.0 0 0 ? S< 2013 0:00 [migration/0]
root 3 0.0 0.0 0 0 ? SN 2013 0:00 [ksoftirqd/0]
root 4 0.0 0.0 0 0 ? S< 2013 0:00 [watchdog/0]
root 5 0.0 0.0 0 0 ? S< 2013 0:00 [events/0]
root 6 0.0 0.0 0 0 ? S< 2013 0:00 [khelper]
root 7 0.0 0.0 0 0 ? S< 2013 0:00 [kthread]
root 10 0.0 0.0 0 0 ? S< 2013 0:05 [kblockd/0]
root 11 0.0 0.0 0 0 ? S< 2013 0:00 [kacpid]
root 111 0.0 0.0 0 0 ? S< 2013 0:00 [cqueue/0]
root 114 0.0 0.0 0 0 ? S< 2013 0:00 [khubd]
root 116 0.0 0.0 0 0 ? S< 2013 0:00 [kseriod]
root 181 0.0 0.0 0 0 ? S 2013 0:00 [khungtaskd]
root 182 0.0 0.0 0 0 ? S 2013 0:02 [pdflush]
root 184 0.0 0.0 0 0 ? S< 2013 0:00 [kswapd0]
root 185 0.0 0.0 0 0 ? S< 2013 0:00 [aio/0]
root 340 0.0 0.0 0 0 ? S< 2013 0:00 [kpsmoused]
root 378 0.0 0.0 0 0 ? S< 2013 0:00 [kstriped]
root 399 0.0 0.0 0 0 ? S< 2013 0:44 [jbd2/hda-8]
root 400 0.0 0.0 0 0 ? S< 2013 0:00 [ext4-dio-unwrit]
root 420 0.0 0.0 0 0 ? S< 2013 0:00 [kauditd]
root 448 0.0 0.1 2396 640 ? S<s 2013 0:00 /sbin/udevd -d
root 869 0.0 0.0 0 0 ? S< 2013 0:00 [ata/0]
root 870 0.0 0.0 0 0 ? S< 2013 0:00 [ata_aux]
root 997 0.0 0.0 0 0 ? S< 2013 0:00 [kmpathd/0]
root 998 0.0 0.0 0 0 ? S< 2013 0:00 [kmpath_handlerd]
root 1271 0.0 0.0 0 0 ? S 2013 0:00 [pdflush]
dbus 1307 0.0 0.1 2868 652 ? Ss 2013 0:00 dbus-daemon --system
root 1316 0.0 0.0 1776 512 ? Ss 2013 0:00 /usr/sbin/acpid
root 1324 0.0 0.2 34308 1296 ? Sl 2013 0:06 /sbin/rsyslogd -i /var/run/rsyslogd.pid -m 0
root 1338 0.0 0.2 7260 1040 ? Ss 2013 0:01 /usr/sbin/sshd
ntp 1357 0.0 0.8 4532 4528 ? SLs 2013 0:01 ntpd -u ntp:ntp -p /var/run/ntpd.pid -g
nobody 1651 0.0 0.2 2780 1084 ? Ss 2013 0:02 proftpd: (accepting connections)
root 1666 0.0 0.2 2572 1152 ? S 2013 0:00 sh ../sbin/kloxo-wrapper.sh
root 2787 0.0 0.2 2568 1196 ? S 2013 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --socket=/var/lib/mysql/mysql.sock --pid-file=/var/run/mysqld/mysqld.pid --basedir=/usr --user=mysql
mysql 2994 0.0 11.2 347328 57728 ? Sl 2013 43:24 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib/mysql/plugin --user=mysql --log-error=/var/log/mysqld.log --pid-file=/var/run/mysqld/mysqld.pid --socket=/var/lib/mysql/mysql.sock
root 3456 0.0 0.1 2852 884 ? Ss 2013 0:05 xinetd -stayalive -pidfile /var/run/xinetd.pid
root 3510 0.0 0.2 3348 1108 ? Ss 2013 0:00 crond
root 3517 0.0 0.0 1764 472 tty1 Ss+ 2013 0:00 /sbin/mingetty tty1
root 3518 0.0 0.0 1764 468 tty2 Ss+ 2013 0:00 /sbin/mingetty tty2
root 3519 0.0 0.0 1764 472 tty3 Ss+ 2013 0:00 /sbin/mingetty tty3
root 3520 0.0 0.0 1764 468 tty4 Ss+ 2013 0:00 /sbin/mingetty tty4
root 3521 0.0 0.0 1764 464 tty5 Ss+ 2013 0:00 /sbin/mingetty tty5
root 3522 0.0 0.0 1764 472 tty6 Ss+ 2013 0:00 /sbin/mingetty tty6
qmails 3569 0.0 0.0 2024 484 ? S 2013 0:00 qmail-send
qmaill 3570 0.0 0.0 1772 492 ? S 2013 0:00 splogger qmail
root 3571 0.0 0.0 1784 372 ? S 2013 0:00 qmail-lspawn |preline procmail
qmailr 3572 0.0 0.0 1780 372 ? S 2013 0:00 qmail-rspawn
qmailq 3574 0.0 0.0 1764 356 ? S 2013 0:00 qmail-clean
root 3576 0.0 0.2 6968 1480 ? S 2013 0:00 /usr/libexec/courier-authlib/authdaemond
root 3580 0.0 0.2 7020 1468 ? S 2013 0:00 /usr/libexec/courier-authlib/authdaemond
root 3582 0.0 0.0 1796 376 ? S 2013 0:01 /usr/bin/tcpserver -v -R -H -l domain.com 0 110 /usr/sbin/pop3login /usr/bin/pop3d Maildir
root 3588 0.0 0.0 1796 376 ? S 2013 0:00 /usr/bin/tcpserver -v -R -H -l domain.com 0 995 /usr/bin/couriertls -server -tcpd /usr/sbin/pop3login /usr/bin/pop3d Maildir
root 3594 0.0 0.0 1796 376 ? S 2013 0:01 /usr/bin/tcpserver -v -R -H -l domain.com 0 143 /usr/sbin/imaplogin /usr/bin/imapd Maildir
root 3600 0.0 0.0 1796 376 ? S 2013 0:00 /usr/bin/tcpserver -v -R -H -l domain.com 0 993 /usr/bin/couriertls -server -tcpd /usr/sbin/imaplogin /usr/bin/imapd Maildir
clamav 12335 0.0 0.3 4564 1672 ? Ss 2013 6:06 /usr/bin/freshclam -d -p /var/run/clamav/freshclam.pid
root 24099 0.0 2.4 46860 12372 ? Ss Jan02 0:00 /usr/sbin/httpd
lxlabs 24167 0.0 0.3 6296 1960 ? S Jan02 0:00 /usr/local/lxlabs/ext/lxlighttpd/sbin/kloxo.httpd -f /usr/local/lxlabs/kloxo/file/lighttpd.conf
root 24173 0.0 2.9 26520 15208 ? S Jan02 0:03 /usr/local/lxlabs/ext/php/php /usr/local/lxlabs/kloxo/sbin/kloxo.php master
apache 30693 0.5 4.4 57328 22816 ? S 01:15 0:23 /usr/sbin/httpd
apache 30714 0.4 4.3 57604 22432 ? S 01:20 0:17 /usr/sbin/httpd
apache 30739 0.3 4.8 60348 25084 ? S 01:23 0:16 /usr/sbin/httpd
apache 30876 0.3 4.7 60040 24696 ? S 02:03 0:06 /usr/sbin/httpd
root 30896 0.0 0.5 10112 3020 ? Ss 02:04 0:00 sshd: root@pts/0
root 30898 0.0 0.2 2572 1348 pts/0 Ss 02:04 0:00 -bash
root 31117 0.0 0.1 2288 840 pts/0 R+ 02:34 0:00 ps auxw

Второе:


tcp 0 0 xxx.xxx.xxx.xxx:53 0.0.0.0:* LISTEN 1262/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1262/named
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1262/named
tcp 0 0 ::1:953 :::* LISTEN 1262/named
udp 0 0 xxx.xxx.xxx.xxx:53 0.0.0.0:* 1262/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 1262/named
Evas EvaSystems
На сайте с 31.05.2012
Offline
104
#6

http://www.stableit.ru/2009/11/resursion-named-bind.html

Для стандартной конфигурации, т.е bind службы должно подойти...

Системный администратор Linux. Настройка, сопровождение и оптимизация серверов. Отзывы - searchengines.guru/ru/forum/1017473
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#7

aprika, простите, в первом случае ключ -v надо убрать, но по второму выводу все равно ясно что у вас named.

Ссылочку уже дал Evas. Если по ней что-то не ясно, спрашивайте дальше.

А я вам пока что расскажу что такое open resolver и как проверить вашу открытость...

По хорошему обычный ДНС не должен отвечать на запросы к зонам которые он не содержит у себя, стало быть , если к моему NS1 обратится за доменом скажем mail.ru, должна вернуться ошибка типа SERVFAIL или что-то там такое, я уж не помню. Рекурсия сделана для того, что бы дать нижестоящим компьютерам в иерархии информацию для DNS, фактически насроенный у вас в "сетевом окружении" Сервер Имен, так же является рекурсором установленным вашим провайдером для своих клиентов (вас).... но скорее всего ваш провайдер не разрешает рекурсивные запросы с отличных от его ИП адресов....

Проверять доступность рекурсии можно следующим образом:


# nslookup mail.ru ns1.onyx.net.ua
Server: ns1.onyx.net.ua
Address: 98.142.242.97#53

Non-authoritative answer:
*** Can't find mail.ru: No answer


# nslookup mail.ru ns2.onyx.net.ua
Server: ns1.onyx.net.ua
Address: 98.142.243.150#53

Non-authoritative answer:
*** Can't find mail.ru: No answer

В обоих вариантах ns сервера ответили ошибкой и приобразование имени в ИП не случилось.... При обращении к доступному рекурсору мы получим в ответ адреса mail.ru, например так:


Non-authoritative answer:
Name: mail.ru
Address: 217.69.139.199
Name: mail.ru
Address: 94.100.180.199
Name: mail.ru
Address: 217.69.139.201
Name: mail.ru
Address: 94.100.180.201

Стало быть берем любой домен который заведомо не существует в ваших ДНС, а потом делаем прямые запросы к ДНС серверу (ип адресу) по поводу этого домена, если получаем ответ - стало быть произошла рекурсия, если нет - то нет.

Den73
На сайте с 26.06.2010
Offline
523
#8
aprika:
Хотела добавить, что таких ответов, плз, не надо! Однако уже успели отметиться - спасибо, слив засчитан. Надеюсь все же, что в топик заглянет кто-нибудь добрее или не такой крутой, способный снизойти до простых смертных.

неужели сложно гуглится, вопрос заезженный - можно доку не смотреть)


allow-recursion { none; };
aprika
На сайте с 05.06.2006
Offline
144
#9
Den73:
неужели сложно гуглится, вопрос заезженный - можно доку не смотреть)

Вы знаете, заезженный совет сходить сначала в гугл уже не работает. Не ищет современный гугл ничего. Равно как и Яндекс.

Андрей
На сайте с 30.09.2009
Offline
487
#10

Работает, работал и будет работать

https://www.google.com.ua/search?q=отключить+рекурсию

EuroHoster.org ( https://eurohoster.org/ru/ ) - территория быстрых серверов. Выделенные серверы, VPS, SSL, домены и VPN.
12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий