Re: [FRnOG] Q: requêtes dns en pagailles ?
Salut, je ne suis pas sûr que FrNOG soit la meilleure liste pour poster ce genre de questions, il y a par exemple dns-fr du CRU (https://listes.cru.fr/sympa/info/dns-fr ), sur laquelle le sujet a déjà été traité. une recherche rapide sur Google donne ça : http://groups.google.com/group/comp.protocols.dns.bind/browse_thread/thread/135c2bff197a4979 bonne soirée, Nicolas. On Jan 28, 2009, at 9:40 PM, Christophe Meessen wrote: Bonsoir, j'ai un petit serveur dns à la maison pur mon nom de domaine meessen.net. J'ai constaté ce soir que je suis bombardé de requêtes Jan 28 06:30:15 cerber named[12764]: client 64.57.246.146#22359: view net: query (cache) './NS/IN' denied Quasiment une chaque secondes avec de temps en temps une même requête de deux autres ordinateurs. J'ai depuis mis en place un filtre pare feu pour rejeter ces adresses ip. Cela dure apparemment depuis quelques jours sans que je m'en sois rendu compte. Je me demande naïvement quel en serait le sens ? Une erreur de configuration de l'origine ? Si c'est une attaque, a quoi pourrait- elle correspondre ? Ma config DNS a le défaut de ne pas avoir de serveur de backup. Cela pourrait-il me rendre plus vulnérable ? Bien cordialement, Ch. Meessen --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Q: requêtes dns en pagailles ?
Tous, bonjour, Le 28 janv. 09 à 21:40, Christophe Meessen a écrit : j'ai un petit serveur dns à la maison pur mon nom de domaine meessen.net. J'ai constaté ce soir que je suis bombardé de requêtes Jan 28 06:30:15 cerber named[12764]: client 64.57.246.146#22359: view net: query (cache) './NS/IN' denied Quasiment une chaque secondes avec de temps en temps une même requête de deux autres ordinateurs. J'ai depuis mis en place un filtre pare feu pour rejeter ces adresses ip. Cela dure apparemment depuis quelques jours sans que je m'en sois rendu compte. C'est en rapport avec l'attaque DoS par amplification basée sur le DNS qui sévi depuis début janvier. Voir le blog de Bortzmeyer : http://www.bortzmeyer.org/dns-attaque-ns-point.html Bonne soirée, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Q: requêtes dns en pagailles ?
Bonsoir et merci beaucoup pour la réponse aussi rapide. Nicolas CARTRON a écrit : Salut, je ne suis pas sûr que FrNOG soit la meilleure liste pour poster ce genre de questions, il y a par exemple dns-fr du CRU (https://listes.cru.fr/sympa/info/dns-fr), sur laquelle le sujet a déjà été traité. Merci aussi pour cette référence dont je ne connaissais pas l'existence. Je me suis abonné. Désolé du hors sujet pour la liste. Dans leurs archives j'ai trouvé ce lien avec une explication assez claire. https://listes.cru.fr/sympa/arc/dns-fr/2009-01/msg2.html Bloquer l'adresse ip d'origine n'était donc pas la bonne solution. Je bloque apparemment une victime qui sert de rebond. Il ne me reste plus qu'à trouver la formule incantatoire idoine pour chasser le mal . :-) -- Bien cordialement, Ch. Meessen smime.p7s Description: S/MIME Cryptographic Signature
[FRnOG] Re: [FRnOG] Q: requêtes dns en pagailles ?
2009/1/28 Christophe Meessen christo...@meessen.net: Bonsoir, j'ai un petit serveur dns à la maison pur mon nom de domaine meessen.net. J'ai constaté ce soir que je suis bombardé de requêtes Jan 28 06:30:15 cerber named[12764]: client 64.57.246.146#22359: view net: query (cache) './NS/IN' denied Quasiment une chaque secondes avec de temps en temps une même requête de deux autres ordinateurs. J'ai depuis mis en place un filtre pare feu pour rejeter ces adresses ip. Cela dure apparemment depuis quelques jours sans que je m'en sois rendu compte. Je me demande naïvement quel en serait le sens ? Une erreur de configuration de l'origine ? Si c'est une attaque, a quoi pourrait-elle correspondre ? Ma config DNS a le défaut de ne pas avoir de serveur de backup. Cela pourrait-il me rendre plus vulnérable ? Bien cordialement, Une technique simple avec netfilter pour rejeter les requêtes recursives sur IN NS : iptables -A INPUT -j DROP -p udp --dport domain -m u32 --u32 \ 0220...@1216=10220...@2024=00220...@21=0x00020001 Cela permet d'éviter de faire passer les paquets en user-space vers bind ;-) -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance --that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
