- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Домен xxxxx.RU используется для реализации атаки dns amplification.
Просьба заблокировать эту зону на ваших DNS серверах до тех пор, пока клиент в человекопонятной форме вам не объяснит зачем ему 249 IN A записей.
Речь идет об атаке в 20 гигабит.
По возможности внесите ограничение на кол-во одинаковых записей в вашей панели управления,
и поищите другие имена с неадекватным количеством записей.
===============
Господа хостеры, а сколько вашей техподдержке потребуется времени, для реакции на такую заявку?
И все ли ваши сервера с биндом проверены на предмет рекурсии?
В новых версиях биндов рекурсия отключена по умолчанию.
Ну а по дедикам как быть? Клиентов уведомить не проблема, но 90% пропустят мимо глаз эту рассылку.
В новых версиях биндов рекурсия отключена по умолчанию.
Ну а по дедикам как быть? Клиентов уведомить не проблема, но 90% пропустят мимо глаз эту рассылку.
Видимо сделать проверку по своей сети, и заблочить нахрен те свои IP где разрешена рекурсия, а потом объясняться с клиентами.
Либо забить. Ну, иногда жалваться кто-то может и будет. На жалобы тоже можно забить.
Как то так?
На своих днс рекурсию отключаю. Для клиентов надо доводить инфу, чтоб или настраивали бинд или отключать их как участника ботнета.
Отключение рекурсии это пол дела.
Для атаки не всегда нужна рекурсия.
Если этот домен заведен на ВАШИХ нс то ваши нс могут использоваться как усилитель.
реакция reg.ru, в ответ на тикет о 20GB DDoS -
По данному домену нами уже инициирована процедура проверки идентификационных данных в соответствии с правилами регистрации доменов в зоне (пункт 9.3.4)
Если ответ не поступит, то домен будет снят с делегирования в течение 24-х часов.
Быстрые, просто капец.
Отключение рекурсии это пол дела.
Для атаки не всегда нужна рекурсия.
Если этот домен заведен на ВАШИХ нс то ваши нс могут использоваться как усилитель.
это как? юзер делает запрос к днс, днс отвечает юзеру о А и прочих записях или же отвечает что ничего не знает о домене (когда рекурсия отключена). т.е. тут заддосить можно только сам днс сервер запросами, посторонние сайты от днс сервера никак не пострадают.
---------- Добавлено 30.12.2013 в 16:42 ----------
hvosting, тупанул, вы про ip spoofing.
hvosting, я что-то пропустил? Где 249 записей?
hvosting, я что-то пропустил? Где 249 записей?
в днс записях домена, злоумышленник делает к днс запрос, который весит десяток байт, а ответ днс идет уже на сервер жертвы изза ip спуфинга, а 249 записей весит заметно больше чем исходный запрос.
в днс записях домена, злоумышленник делает к днс запрос, который весит десяток байт, а ответ днс идет уже на сервер жертвы изза ip спуфинга, а 249 записей весит заметно больше чем исходный запрос.
Так я вот ответ в 249 записей не вижу, где они ? ;)
Видимо сделать проверку по своей сети, и заблочить нахрен те свои IP где разрешена рекурсия, а потом объясняться с клиентами.
Либо забить. Ну, иногда жалваться кто-то может и будет. На жалобы тоже можно забить.
Как то так?
После проверки сделать рассылку. Кто не отреагировал заблокировать 53 порт на входящие. Повторно написать. Зачем блокировать полностью?
Мы делаем именно так.
Так я вот ответ в 249 записей не вижу, где они ? ;)
249 записей есть в ответе для тех доменов, у которых прописано 249 IN A записей в файле зоны.
Либо 249 NS-ов, в том числе.
Ваш КО. 😂
Классический вариант атаки состоит из 2-х половин - спуфинг адреса, который нужно атаковать, и запросы в множество DNS серверов, где разрешена рекурсия, ибо бесплатно.
Однако подумайте - взяли у вас аккаунт на пробу, и разрешили вы там запарковать домен.
Пофигу что домен не зарегистрирован - ваш тест-драйв сервер на запросы все равно ответит и их усилит.
в результате тоже бесплатно, хотя и геморно.
Вот такое приключилось.....
Я вам более того скажу - поднимал я месяц назад на конференции вопрос про dnssec в разрезе амплификации.
Там уже не обязательно иметь 250 записей, или TXT записи на 10 килобайт, все запросы сопровождаются такими подписями, что просто полный П, ничего дополнительно "готовить" не надо.
Будете смотреть в сторону dnssec - использование допустимо только с криптой на эллиптических кривых, другие варианты дают подпись на порядок длиннее, что чревато уже описанным.