2026-03-31 DNS DDoS
by Vasil KolevНормалните хора се будят с кафе, аз – с DDoS.
Накратко, от вчера някакви хора DDoS-ват DNS сървъри, по TCP, с опит за рекурсивни resolve-вания, като не затварят връзките, и в един момент свършва опашката на сървъра. В логовете си личи по
Mar 31 10:16:48 marla named[221347]: client @0x7f2263433c98 177.54.96.29#40555 (arvika.se): query failed (REFUSED) for arvika.se/IN/TXT at query.c:5703 Mar 31 10:16:48 marla named[221347]: client @0x7f226e79a498 177.223.238.74#43398 (ns3.aixzellent.com): query failed (REFUSED) for ns3.aixzellent.com/IN/AAAA at query.c:5703 Mar 31 10:16:52 marla named[221347]: client @0x7f225e7d5c98 177.54.96.29#41861 (DAN.Net.uk): query failed (REFUSED) for DAN.Net.uk/IN/ANY at query.c:5703 Mar 31 10:16:54 marla named[221347]: client @0x7f226f595498 177.54.96.29#42734 (shop-goudwisselkantoor.nl): query failed (REFUSED) for shop-goudwisselkantoor.nl/IN/ANY at query.c:5703
Текущото временно решение е в server секцията да се добави:
tcp-clients 10000;
tcp-initial-timeout 100;
tcp-idle-timeout 100;
tcp-keepalive-timeout 50;
tcp-advertised-timeout 0;
Това накратко вдига колко може да са паралелните връзки, смъква idle/keepalive timeout-ите, така че да не може да виси някой 30 секунди, и в отговорите казва, че не поддържа keepalive (т.е. клиента да си държи връзката отворена за още някакви въпроси). Изглежда да крепи на около 2000-3000 отворените връзки в момента в bind9 и да не се бави с отговорите, да видим дали ще има промяна.
На графиката горе си личи кога съм сложил опциите и как рязко се е вдигнал трафика, като мога да отговарям.
Следващото би било fail2ban правило с ipset-ове, да почна да ги блокирам, но не съм сигурен дали е полезно и дали все пак няма и някакъв реален трафик от тия адреси, трябва да събера желание да го запиша и анализирам.
Tags: работа