+ Responder ao Tópico



  1. #1

    Padrão Consultas abusivas à DNS - Rede Interna

    Alguém já passou por um problema onde os clientes internos ficam disparando consultas à 2, 3mbps ao DNS?

    Os DNS foram reconfigurados mas as consultas vindas dos clientes continuam...

    Alguma dica?

  2. #2

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    ataque DOS tenta esta regra e depois fala se funcionou. OBS (in interface: é a interface do seu link) não esquece de click na estrelinha abraço.


    /ip firewall filter
    add action=drop chain=input comment="DROP ATAQUE EXTERNO DOS DNS" dst-port=53 \
    in-interface="ether1 LINK" protocol=udp
    add action=drop chain=forward comment="DROP ATAQUE EXTERNO DOS DNS" dst-port=53 \
    in-interface="ether1 LINK" protocol=udp

  3. #3

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Citação Postado originalmente por isaquebrumel Ver Post
    ataque DOS tenta esta regra e depois fala se funcionou. OBS (in interface: é a interface do seu link) não esquece de click na estrelinha abraço.


    /ip firewall filter
    add action=drop chain=input comment="DROP ATAQUE EXTERNO DOS DNS" dst-port=53 \
    in-interface="ether1 LINK" protocol=udp
    add action=drop chain=forward comment="DROP ATAQUE EXTERNO DOS DNS" dst-port=53 \
    in-interface="ether1 LINK" protocol=udp

    Isso já temos implantado @isaquebrumel o problema é que as requisições estão vindo dos nossos próprios clientes, impossível bloquear

  4. #4

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    São TODOS os seus clientes? Se não,porque não faz um scan na rede pra saber quem é que está com esse problema? Depois é só ir lá e resolver.

  5. #5

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Citação Postado originalmente por TheGodfather Ver Post
    São TODOS os seus clientes? Se não,porque não faz um scan na rede pra saber quem é que está com esse problema? Depois é só ir lá e resolver.
    Varia, a gente marca e acompanha alguns, quando vê, o tráfego tá em outros...

    Mas de 500 conectados, pelo menos uns 100 ficam acima de 2mbps de consulta ao DNS

  6. #6

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Citação Postado originalmente por brunozerves Ver Post
    Varia, a gente marca e acompanha alguns, quando vê, o tráfego tá em outros...

    Mas de 500 conectados, pelo menos uns 100 ficam acima de 2mbps de consulta ao DNS
    como esta suas configurações de dns? usa dns no mikrotik?

  7. #7

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Citação Postado originalmente por brunobelas Ver Post
    como esta suas configurações de dns? usa dns no mikrotik?
    A gente usa o Debian + Bind... Engraçado é que como tá virtualizado, nós refizemos o servidor do zero e depois trocamos, daí no início parecia normal, depois voltou ao tráfego alto, chega dar 500, 600mega de tráfego contra o servidor.

    O BGP e o concentrador estão na versão 6.38 do Mikrotik, vamos atualizar na madrugada pra última 6.38.3, pois no changelog tem muuuitos bugs que podem ter relação...

    O conf do Bind tá assim:

    acl interna {
    127.0.0.1/32;
    XXX.XXX.XXX.0/22;
    };

    options {
    directory "/var/cache/bind";
    allow-recursion{
    interna;
    };
    version none;
    allow-query { any; };

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk. See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable
    // nameservers, you probably want to use them as forwarders.
    // Uncomment the following block, and insert the addresses replacing
    // the all-0's placeholder.

    tcp-clients 20000;
    recursive-clients 20000;
    cleaning-interval 1800;
    max-cache-size 1024M;
    max-cache-ttl 86400;


    // forwarders {
    // 0.0.0.0;
    // };

    //========================================================================
    // If BIND logs error messages about the root key being expired,
    // you will need to update your keys. See https://www.isc.org/bind-keys
    //========================================================================
    dnssec-validation auto;

    auth-nxdomain no; # conform to RFC1035
    listen-on-v6 { any; };
    };

  8. #8

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Citação Postado originalmente por brunozerves Ver Post
    A gente usa o Debian + Bind... Engraçado é que como tá virtualizado, nós refizemos o servidor do zero e depois trocamos, daí no início parecia normal, depois voltou ao tráfego alto, chega dar 500, 600mega de tráfego contra o servidor.

    O BGP e o concentrador estão na versão 6.38 do Mikrotik, vamos atualizar na madrugada pra última 6.38.3, pois no changelog tem muuuitos bugs que podem ter relação...

    O conf do Bind tá assim:
    No seu mikrotik, ip>dns esta desmarcado allow remote requests?

  9. #9

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Citação Postado originalmente por brunobelas Ver Post
    No seu mikrotik, ip>dns esta desmarcado allow remote requests?
    Está desmarcado

  10. #10

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Você tem certeza que o "ataque" é na porta UDP/TCP/53? Já colocou um tcpdump rodar lá pra ter certeza que é isso?

    Enviado via XT1580 usando UnderLinux App

  11. #11

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Citação Postado originalmente por andrecarlim Ver Post
    Você tem certeza que o "ataque" é na porta UDP/TCP/53? Já colocou um tcpdump rodar lá pra ter certeza que é isso?

    Enviado via XT1580 usando UnderLinux App
    Não colocamos, mas no torch aparece o tráfego do cliente para o IP do DNS, porta 53 UDP...

    Atualizamos os RouterOS na madrugada mas não mudou nada também...

    Outra coisa que percebi, é que o cliente tá enviando 5mbps pro DNS, mas na queue dele não tem tráfego nenhum, as consultas ao DNS não teriam que passar pelo controle de banda também será?

    Obrigado



    Sent from my iPhone using UnderLinux

  12. #12

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Esses servidor ele esta com ip valido? Se sim, verifique se ele esta recursivo!

    Outra coisa configure o bind pra servir apenas os ips q vc usa, vc seta o escobo da sua rede apenas, isso evita ataque de broadcast!!

  13. #13

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Citação Postado originalmente por Nks Ver Post
    Esses servidor ele esta com ip valido? Se sim, verifique se ele esta recursivo!

    Outra coisa configure o bind pra servir apenas os ips q vc usa, vc seta o escobo da sua rede apenas, isso evita ataque de broadcast!!
    Está configurado para ser recursivo apenas dentro da rede, só serve pras nossas ranges de IP.

    Porém para nossa surpresa hoje, retiramos o DNS Relay de algumas ONUs e configuramos os IPs dos DNS manualmente e aparentemente elimina o problema.

    Parece que as ONUs estavam gerando esse tráfego.

    Estamos monitorando para ver se é realmente isso.

  14. #14

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Estou com um problema desse, um cliente atacando, acredito ser algum vírus, talvez um Bonet rodando no PC do cliente

  15. #15

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    da pra descobrir de qual cliente esta vindo, pelo iptraf na mesma maquina que esta rodando o dns.....

    tive problemas parecido e era o recursivo,,,,, mais nao eh o seu caso!!!

    lembrando eh sempre interessante ter um firewalzinho rodando na propria maquina mesmo, no linux, pra evitar ataques simples, coisas como inundacoes flood e broadcast invalidos, vc pode usar o fail2ban para dns, ele tem um recurso proprio pra bind que vc tem que setar la nas configuracoes do bind, alem disso ele protege outras coisas como ssh brutal force, e por ultimo nao instala apache no seu dns, de preferencia deixe sem apache, evita varias dor de cabecas!!!

    []´s

  16. #16

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Exatamente @Nks Nós temos o firewall no DNS, tudo em ordem, o problema possivelmente era o DNS Relay ativo nas ONUs


    Sent from my iPhone using UnderLinux

  17. #17

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    eai amigo, conseguiu solucionar?, separar pelomenos os clientes que estao gerando esse trafego

  18. #18

    Padrão Re: Consultas abusivas à DNS - Rede Interna

    Sim! O problema era justamente o que havia comentado aqui, com o DNS Relay ativo, a rede virava uma bagunça...