- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
День добрый комрады,
Засеян лог следующими записями:
named[17581]: client 74.125.18.212#38640: view external: query (cache) 'www.DOMAIN.org/A/IN' denied
named[24188]: client 192.126.113.212#44717: view external: query (cache) 'DOMAIN.net/ANY/IN' denied
* Домены скрыл.
А так же аналогичными запросами на другие домены, на сколько я понимаю, это неудачные попытки получить файл зоны? Либо это попытки обращения к несуществующим зонам в данном случае, пока не могу понять причину denied... Домен описанный выше видимо когда-то был у нас, так как Name Servers наши стоят, но вот его давно нет судя по всему, так как в ДНС о нем ни слова, собственно хочется понять это какие-то зловреды пытаются атаковать DNS таким образом или это кучные запросы которые валят на меня только по тому, что регистратор по сей день ссылается на наши ДНС?
Стоит ли блокировать такого рода запросы? Так как их за последние 3-4 дня около 2mln собралось в логе.....
Есть небольшая порция лидеров по таким вот запросам:
13723 - 14.17.68.162
6124 - 14.17.79.61
10196 - 31.31.204.53
9628 - 31.31.205.53
62954 - 66.102.253.154
53632 - 66.102.253.163
66421 - 66.102.253.77
7551 - 67.220.86.91
9071 - 68.178.254.190
12631 - 70.39.76.46
40249 - 72.8.141.2
171309 - 80.12.255.8
8543 - 89.184.64.123
43293 - 121.241.30.129
43155 - 121.241.30.130
43459 - 121.242.190.173
40359 - 121.242.190.174
16038 - 121.242.190.205
70441 - 121.242.190.206
5014 - 123.125.114.144
53606 - 167.206.112.138
55057 - 167.206.13.30
5402 - 174.128.249.195
7204 - 174.128.249.206
9665 - 183.60.107.162
10541 - 192.110.167.50
60035 - 192.126.113.212
29548 - 192.126.114.113
57806 - 192.126.114.164
24039 - 192.126.114.165
6314 - 192.157.225.25
7241 - 195.75.53.125
5120 - 198.24.149.236
8781 - 208.115.237.209
16038 - 208.93.105.250
8834 - 209.205.72.11
5493 - 209.205.72.47
33986 - 209.205.72.56
38007 - 209.205.72.61
61814 - 209.205.72.66
14096 - 209.205.76.125
Суд по всему запросы валят на домены которые когда-то были на наших ДНС... а сейчас в силу разных причин отсутствуют в ДНС...
Порекомендуйте как быть, думаю начать лочить файлтубаном... ? Что скажете?
Однозначно стоит, ибо это могут быть поддельные IP жертв, на которые вы шлете трафик
Рекурсивная атака?
---------- Добавлено 13.06.2013 в 13:58 ----------
Мдя, пара минут работы fail2ban около 2500 фейлов, 30 ипшников в баню.... :) Капец, что же за интернет такой :D
гляньте tcpdump-ом с какого порта идут к вам запросы.
год назад меня флудили udp-шками с 53-го порта на мой 53-й
закрыл в файрволе, через неделю отстали
Romka_Kharkov, нет, запрос на скачку файла зоны выглядит не так.
Выступая иногда и как клиент хостинга тоже, посоветую вам НЕ ДЕЛАТЬ НИЧЕГО во избежание создания сложных запутанных проблем и банов невиновных.
Ответ на запросы посылается ? - Нет.
Атака усиливается (DNS Amplification)? - Нет.
Мир во всем мире возможен ? - Нет.
Это в первую очередь следовало бы проверить. Что там по проблемным доменам?
гляньте tcpdump-ом с какого порта идут к вам запросы.
год назад меня флудили udp-шками с 53-го порта на мой 53-й
закрыл в файрволе, через неделю отстали
С случайных портов в дальнем диапазоне.
Выступая иногда и как клиент хостинга тоже, посоветую вам НЕ ДЕЛАТЬ НИЧЕГО во избежание создания сложных запутанных проблем и банов невиновных.
Поддерживаю предыдущего оратора.
Ответ на запросы посылается ? - Нет.
Ну как сказать, какой-то трафик то уходит.... хотя бы тот с тем же denied. Тачка шуршит, днс шуршит, если напрасно - нафик надо.... ?
Атака усиливается (DNS Amplification)? - Нет.
Это ж вроде тут не при чем, у меня не рекурсор.
Мир во всем мире возможен ? - Нет.
Вы не умеете его готовить (c)... :)))))
Это в первую очередь следовало бы проверить. Что там по проблемным доменам?
Так а что проверять, практически все домены которые фигурируют в логах когда-то были у нас на хосте, и ДНС у регистратора до сих пор наш.... при этом домены не используются владельцами, у нас из ДНС удалены так же , давным давно.... Но есть так же пришедшие запросы по таким доменам например:
alt1.aspmx.l.google.com/A/IN
ALT1.aspmx.l.google.com/A/IN
aspmx2.googlemail.com/A/IN
ASPMX2.GOOGLEMAIL.com/A/IN
мало вероятно, что они были у нас когда либо :D
Пока все таки натравил fal2ban на эту штуку.... при каких условиях могут страдать невинные клиенты? Если они аналогичных запросов сделают 50 за 5 минут?
Пока собрал вот такую штуку в фильтрах:
[Definition]
_daemon = named
__pid_re=(?:\[\d+\])
__daemon_re=\(?%(_daemon)s(?:\(\S+\))?\)?:?
__daemon_combs_re=(?:%(__pid_re)s?:\s+%(__daemon_re)s|%(__daemon_re)s%(__pid_re)s?:)
__line_prefix=(?:\s\S+ %(__daemon_combs_re)s\s+)?
failregex = %(__line_prefix)sclient <HOST>#.+: query(?: \(cache\))? '.*' denied\s*$
Может быть возвернуть домены в ДНС и начать трафик собирать с них? :)
Ну как сказать, какой-то трафик то уходит.... хотя бы тот с тем же denied. Тачка шуршит, днс шуршит, если напрасно - нафик надо.... ?
насколько я понимаю, не уходит. Неудобство только в засорении логов. Проверьте tcpdump-ом трафик с этих IP. Заодно может еще какие-то аномалии заметите.
Например, клиент сначала указывает у регистратора домен, а спустя время T1 заводит домен в панели. За это время T1 крупные региональные рекурсоры банятся на время T2 скриптом и весь регион не может открыть сайт. В худшем случае можно забанить google dns.
Просто сложные проблемы возникают там где админу не сидится спокойно.
Атака усиливается (DNS Amplification)? - Нет.
Это ж вроде тут не при чем, у меня не рекурсор.
эээ, тут я имел ввиду схему, когда подделывают адрес отправителя запроса и сервер отправляет в ответ. Cейчас это редкость ввиду того, что сетевики озаботились борьбой с ddos, но наверное еще не все.
В общем запросы приходят в том случае, если идет простое обращение к домену... стало быть кто-то в браузере или еще как запрашивает резол домена и оно прямиком ко мне приходит... :) Аж интересно стало, что же там за домены такие :D
---------- Добавлено 13.06.2013 в 15:23 ----------
Например, клиент сначала указывает у регистратора домен, а спустя время T1 заводит домен в панели. За это время T1 крупные региональные рекурсоры банятся на время T2 скриптом и весь регион не может открыть сайт. В худшем случае можно забанить google dns.
А с какого простите хрена.... рекурсоры ломанутся проверять домен которого еще нет ..... ? Это выходит ситуация когда чувак не добавляя в ДНС домена на всех форумах кричит "заходи на мой сайт" ... так что ли выходит? :) Ну а гугл давно пора забанить :D
Romka_Kharkov, нет, чувак УЖЕ сменил у регистратора старый домен, а к вам ЕЩЕ не успел. Или у него интернет обрубился на пару часов во время работы с вашей панелью.
Неприятность, которая затянет переезд на время T2, которое вы выбираете и это может быть больше чем обычное ожидание в пару суток.
В общем, схемы возникновения сложных проблем бесконечно разнообразны. Не создавайте предпосылок и все.