DNS query Flood

T0mcat · 14. August 2011

Hallo allerseits,

Heute stellte ich fest, dass mein Server massiv mit DNS queries gefloodet wird. Das dauert jetzt schon den ganzen Tag an.
Kleiner Ausschnitt :

Code

Aug 14 21:10:23 admin named[32649]: client 69.49.138.3#14061: query (cache) 'www.geogebra.org/A/IN' denied
Aug 14 21:10:23 admin named[32649]: client 200.25.207.115#20180: query (cache) 'www.geogebra.org/A/IN' denied
Aug 14 21:10:24 admin named[32649]: client 217.237.151.148#50066: query (cache) 'www.geogebra.org/A/IN' denied
Aug 14 21:10:24 admin named[32649]: client 212.54.41.233#10279: query (cache) 'www.geogebra.at/A/IN' denied
Aug 14 21:10:25 admin named[32649]: client 212.54.35.230#10189: query (cache) 'www.geogebra.at/A/IN' denied
Aug 14 21:10:25 admin named[32649]: client 212.54.35.230#27811: query (cache) 'www.geogebra.at/A/IN' denied
Aug 14 21:10:25 admin named[32649]: client 212.54.41.231#42722: query (cache) 'www.geogebra.at/A/IN' denied
Aug 14 21:10:25 admin named[32649]: client 212.54.41.228#60023: query (cache) 'www.geogebra.at/A/IN' denied
Aug 14 21:10:25 admin named[32649]: client 212.54.41.231#39101: query (cache) 'www.geogebra.at/A/IN' denied
Aug 14 21:10:30 admin named[32649]: client 80.12.204.165#6273: query (cache) 'www.geogebra.org/A/IN' denied
Aug 14 21:10:30 admin named[32649]: client 80.12.204.165#27083: query (cache) 'ns1.hosting-skills.org/A/IN' denied
Aug 14 21:10:30 admin named[32649]: client 80.12.204.165#33805: query (cache) 'ns2.hosting-skills.org/A/IN' denied
Aug 14 21:10:32 admin named[32649]: client 195.130.131.138#25111: query (cache) 'www.geogebra.org/AAAA/IN' denied

Alles anzeigen

Welche Möglichkeit habe ich, außer den Port 53 für alle UDP Packete dicht zu machen ? Fail2ban ist installiert, da es aber tausende von verschiedenen IPs sind, macht es keinen Sinn.

vmk · 14. August 2011

1 Packet pro Sekunde ist kein Flood, 1 Million pro Sekunde ist Flooding

Fragen die alle nur die 1 Domäne an? Kannst die ja spasseshalber eintragen und auf 127.0.0.1 auflösen lassen

Ansonsten kannst du wohl nichts machen.

T0mcat · 16. August 2011

Ich habe nun mal ein wenig an der VCP Firewall herumgespielt mit der Limit Funktion.

Code

Richtung:INPUT
Protokoll:udp
Quell IP:any
Ziel IP:78.*.*.*
Quell Port: any
Ziel Port: 53
Zusatz: LIMIT
Zusatz Wert:1
ACCEPT

Trotzdem schein es nicht hinzuhauen :

Code

Aug 16 14:28:04 admin named[3679]: client 213.228.63.14#15562: query (cache) 'ns1.hosting-skills.org/A/IN' denied
Aug 16 14:28:04 admin named[3679]: client 213.228.63.14#11407: query (cache) 'ns2.hosting-skills.org/AAAA/IN' denied
Aug 16 14:28:04 admin named[3679]: client 213.228.63.14#54102: query (cache) 'ns1.hosting-skills.org/AAAA/IN' denied
Aug 16 14:28:04 admin named[3679]: client 213.228.63.14#52398: query (cache) 'ns2.hosting-skills.org/A/IN' denied
Aug 16 14:28:04 admin named[3679]: client 213.228.63.14#8937: query (cache) 'www.geogebra.org/AAAA/IN' denied
Aug 16 14:28:04 admin named[3679]: client 213.228.63.14#34941: query (cache) 'www.geogebra.org/AAAA/IN' denied

vmk · 16. August 2011

DNS kann wegen der Geschwindigkeit über UDP benutzt werden, aber TCP ist auch verbreitet. Du bist sicher, dass du beides geblockt hast?

T0mcat · 16. August 2011

TCP und UDP sind beide nun mit einer Accept limit von 1 eingestellt. Ändert aber an sich nichts :

Code

Aug 16 19:58:57 admin named[3679]: client 89.143.229.100#29457: query (cache) 'ns1.hosting-skills.org/A/IN' denied
Aug 16 19:58:57 admin named[3679]: client 89.143.229.100#6465: query (cache) 'ns2.hosting-skills.org/AAAA/IN' denied
Aug 16 19:58:57 admin named[3679]: client 89.143.229.100#49386: query (cache) 'ns3.hosting-skills.org/AAAA/IN' denied

Das Effektiviste ist immer noch ein DROP beim Port 53 einzustellen. Dann ist Ruhe. Aber das kann ja nicht der Zweck sein.