DNS DDoS на ripe.net



  • C WAN порта идет шторм в объеме 4-20 Мбит/с DNS запросов на ripe.net

    tcpdump -i sis0 -nn -c 10000 | grep ripe

    17:02:19.997733 IP 91.223.77.12.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38)
    17:02:19.998357 IP xx.xx.xx.xx.3742 > xx.xx.xx.xy.53: 38106+ [1au] ANY? ripe.net. (38)
    17:02:19.998453 IP xx.xx.xx.xx.3742 > xx.xx.xx.yy.53: 38106+ [1au] ANY? ripe.net. (38)
    17:02:19.998515 IP xx.xx.xx.xx.3742 > 8.8.8.8.53: 38106+ [1au] ANY? ripe.net. (38)
    17:02:19.998574 IP xx.xx.xx.xx.3742 > 208.67.222.222.53: 38106+ [1au] ANY? ripe.net. (38)
    17:02:20.019171 IP 173.45.124.60.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38)
    17:02:20.019692 IP xx.xx.xx.xx.29752 > xx.xx.xx.xy.53: 20823+ [1au] ANY? ripe.net. (38)
    17:02:20.019802 IP xx.xx.xx.xx.29752 > xx.xx.xx.yy.53: 20823+ [1au] ANY? ripe.net. (38)
    17:02:20.019865 IP xx.xx.xx.xx.29752 > 8.8.8.8.53: 20823+ [1au] ANY? ripe.net. (38)
    17:02:20.019930 IP xx.xx.xx.xx.29752 > 208.67.222.222.53: 20823+ [1au] ANY? ripe.net. (38)
    17:02:20.040355 IP 198.144.120.135.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38)
    17:02:20.041819 IP xx.xx.xx.xx.56583 > xx.xx.xx.xy.53: 3430+ [1au] ANY? ripe.net. (38)
    17:02:20.042204 IP xx.xx.xx.xx.56583 > xx.xx.xx.yy.53: 3430+ [1au] ANY? ripe.net. (38)
    17:02:20.042551 IP xx.xx.xx.xx.56583 > 8.8.8.8.53: 3430+ [1au] ANY? ripe.net. (38)
    17:02:20.042780 IP xx.xx.xx.xx.56583 > 208.67.222.222.53: 3430+ [1au] ANY? ripe.net. (38)
    17:02:20.079605 IP 91.223.77.12.53 > xx.xx.xx.xx.53: 952+ [1au] ANY? ripe.net. (38)
    

    xx.xx.xx.xx wan адрес pfsense
    xx.xx.xx.xy первый DNS провайдера
    xx.xx.xx.yy второй DNS провайдера

    top показывает, что dnsmasq отжирает 7-60 % CPU. 60 % до перезагрузки, после перезагрузки 7-20%.

    tcpdump на LAN порту не показывает запросов ripe.net.

    Как победить?



  • Если, как в приведённом примере, всё это инициируется снаружи, просто закрыть на вход 53й порт.



  • глянь тут http://forum.lissyara.su/viewtopic.php?f=53&t=37801
    вроде как перезагрузка тебе поможет



  • Там настоящая BSD и автозаполнение таблицы PF для блокирования. Тут про блокирование запросов вообще разговора не было.



  • 1. Выключи  DNS forwarder.
    2.поставь галочку  в General Setup  - Do not use the DNS Forwarder as a DNS server for the firewall
    3.создай правило на ване, что бы рубило все на 53 порт.

    у меня подобное было, запросы валили  с 6-7 ip, только так вылечил, правда еще сутки после долбили. но трафик уменьшился на ети запросы. как и загрузка проца.


Locked