DNS DDoS на ripe.net
-
C WAN порта идет шторм в объеме 4-20 Мбит/с DNS запросов на ripe.net
tcpdump -i sis0 -nn -c 10000 | grep ripe
17:02:19.997733 IP 91.223.77.12.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38) 17:02:19.998357 IP xx.xx.xx.xx.3742 > xx.xx.xx.xy.53: 38106+ [1au] ANY? ripe.net. (38) 17:02:19.998453 IP xx.xx.xx.xx.3742 > xx.xx.xx.yy.53: 38106+ [1au] ANY? ripe.net. (38) 17:02:19.998515 IP xx.xx.xx.xx.3742 > 8.8.8.8.53: 38106+ [1au] ANY? ripe.net. (38) 17:02:19.998574 IP xx.xx.xx.xx.3742 > 208.67.222.222.53: 38106+ [1au] ANY? ripe.net. (38) 17:02:20.019171 IP 173.45.124.60.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38) 17:02:20.019692 IP xx.xx.xx.xx.29752 > xx.xx.xx.xy.53: 20823+ [1au] ANY? ripe.net. (38) 17:02:20.019802 IP xx.xx.xx.xx.29752 > xx.xx.xx.yy.53: 20823+ [1au] ANY? ripe.net. (38) 17:02:20.019865 IP xx.xx.xx.xx.29752 > 8.8.8.8.53: 20823+ [1au] ANY? ripe.net. (38) 17:02:20.019930 IP xx.xx.xx.xx.29752 > 208.67.222.222.53: 20823+ [1au] ANY? ripe.net. (38) 17:02:20.040355 IP 198.144.120.135.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38) 17:02:20.041819 IP xx.xx.xx.xx.56583 > xx.xx.xx.xy.53: 3430+ [1au] ANY? ripe.net. (38) 17:02:20.042204 IP xx.xx.xx.xx.56583 > xx.xx.xx.yy.53: 3430+ [1au] ANY? ripe.net. (38) 17:02:20.042551 IP xx.xx.xx.xx.56583 > 8.8.8.8.53: 3430+ [1au] ANY? ripe.net. (38) 17:02:20.042780 IP xx.xx.xx.xx.56583 > 208.67.222.222.53: 3430+ [1au] ANY? ripe.net. (38) 17:02:20.079605 IP 91.223.77.12.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38)
xx.xx.xx.xx wan адрес pfsense
xx.xx.xx.xy первый DNS провайдера
xx.xx.xx.yy второй DNS провайдераtop показывает, что dnsmasq отжирает 7-60 % CPU. 60 % до перезагрузки, после перезагрузки 7-20%.
tcpdump на LAN порту не показывает запросов ripe.net.
Как победить?
-
Если, как в приведённом примере, всё это инициируется снаружи, просто закрыть на вход 53й порт.
-
глянь тут http://forum.lissyara.su/viewtopic.php?f=53&t=37801
вроде как перезагрузка тебе поможет -
Там настоящая BSD и автозаполнение таблицы PF для блокирования. Тут про блокирование запросов вообще разговора не было.
-
1. Выключи DNS forwarder.
2.поставь галочку в General Setup - Do not use the DNS Forwarder as a DNS server for the firewall
3.создай правило на ване, что бы рубило все на 53 порт.у меня подобное было, запросы валили с 6-7 ip, только так вылечил, правда еще сутки после долбили. но трафик уменьшился на ети запросы. как и загрузка проца.