Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DNS DDoS на ripe.net

    Scheduled Pinned Locked Moved Russian
    5 Posts 4 Posters 2.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      Radogor
      last edited by

      C WAN порта идет шторм в объеме 4-20 Мбит/с DNS запросов на ripe.net

      tcpdump -i sis0 -nn -c 10000 | grep ripe

      17:02:19.997733 IP 91.223.77.12.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38)
17:02:19.998357 IP xx.xx.xx.xx.3742 > xx.xx.xx.xy.53: 38106+ [1au] ANY? ripe.net. (38)
17:02:19.998453 IP xx.xx.xx.xx.3742 > xx.xx.xx.yy.53: 38106+ [1au] ANY? ripe.net. (38)
17:02:19.998515 IP xx.xx.xx.xx.3742 > 8.8.8.8.53: 38106+ [1au] ANY? ripe.net. (38)
17:02:19.998574 IP xx.xx.xx.xx.3742 > 208.67.222.222.53: 38106+ [1au] ANY? ripe.net. (38)
17:02:20.019171 IP 173.45.124.60.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38)
17:02:20.019692 IP xx.xx.xx.xx.29752 > xx.xx.xx.xy.53: 20823+ [1au] ANY? ripe.net. (38)
17:02:20.019802 IP xx.xx.xx.xx.29752 > xx.xx.xx.yy.53: 20823+ [1au] ANY? ripe.net. (38)
17:02:20.019865 IP xx.xx.xx.xx.29752 > 8.8.8.8.53: 20823+ [1au] ANY? ripe.net. (38)
17:02:20.019930 IP xx.xx.xx.xx.29752 > 208.67.222.222.53: 20823+ [1au] ANY? ripe.net. (38)
17:02:20.040355 IP 198.144.120.135.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38)
17:02:20.041819 IP xx.xx.xx.xx.56583 > xx.xx.xx.xy.53: 3430+ [1au] ANY? ripe.net. (38)
17:02:20.042204 IP xx.xx.xx.xx.56583 > xx.xx.xx.yy.53: 3430+ [1au] ANY? ripe.net. (38)
17:02:20.042551 IP xx.xx.xx.xx.56583 > 8.8.8.8.53: 3430+ [1au] ANY? ripe.net. (38)
17:02:20.042780 IP xx.xx.xx.xx.56583 > 208.67.222.222.53: 3430+ [1au] ANY? ripe.net. (38)
17:02:20.079605 IP 91.223.77.12.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38)

      xx.xx.xx.xx wan адрес pfsense
      xx.xx.xx.xy первый DNS провайдера
      xx.xx.xx.yy второй DNS провайдера

      top показывает, что dnsmasq отжирает 7-60 % CPU. 60 % до перезагрузки, после перезагрузки 7-20%.

      tcpdump на LAN порту не показывает запросов ripe.net.

      Как победить?

      1 Reply Last reply Reply Quote 0
      • C
        chawoosh
        last edited by

        Если, как в приведённом примере, всё это инициируется снаружи, просто закрыть на вход 53й порт.

        1 Reply Last reply Reply Quote 0
        • N
          NegoroX
          last edited by

          глянь тут http://forum.lissyara.su/viewtopic.php?f=53&t=37801
          вроде как перезагрузка тебе поможет

          1 Reply Last reply Reply Quote 0
          • C
            chawoosh
            last edited by

            Там настоящая BSD и автозаполнение таблицы PF для блокирования. Тут про блокирование запросов вообще разговора не было.

            1 Reply Last reply Reply Quote 0
            • M
              MasterMad
              last edited by

              1. Выключи  DNS forwarder.
              2.поставь галочку  в General Setup  - Do not use the DNS Forwarder as a DNS server for the firewall
              3.создай правило на ване, что бы рубило все на 53 порт.

              у меня подобное было, запросы валили  с 6-7 ip, только так вылечил, правда еще сутки после долбили. но трафик уменьшился на ети запросы. как и загрузка проца.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.