Depuis quelques temps, mes utilisateurs se plaignent de lenteurs, voire
de coupures sur la liaison Internet (8 Mb/s symétrique)
En y regardant de plus près avec WireShark, je constate un débit de
100 Mb/s en requêtes DNS !!! La plupart de ou vers
mail.hogskoll.bollnas.se
Comme je n'ai rien changé à la config de mon DNS (*), ça doit forcément
venir de l'extérieur. Et comme je suis authoritative pour mez zones
ainsi que le reverse, je ne peux pas filtrer à la hache ...
Si Orange Business Services me laissait la main sur son routeur, je
pourrais y faire du shaping sur le port 53, mais ce n'est pas le cas...
Une idée ?
Merci,
(*) Mes zones passent le zonecheck de l'AFNIC sans erreurs ni warnings.
--
Xav
Disponible au 1/9/2009
<http://www.xavierhumbert.net/perso/CV2.html>
En y regardant de plus près avec WireShark, je constate un débit de 100 Mb/s en requêtes DNS !!! La plupart de ou vers mail.hogskoll.bollnas.se
Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y a énormément de paquets fragmentés.
Et quelle est la requête effectuée ? Cela vous donnera peut-être une idée sur la nature de l'attaque.
Bon courage, Alex.
-- Alex Chauvin / http://bikeo.fr 0825 626 844 /
Pascal Hambourg
Salut,
Xavier a écrit :
Xavier wrote:
En y regardant de plus près avec WireShark, je constate un débit de 100 Mb/s en requêtes DNS !!!
100 Mbits/s sur une ligne à 8 Mbit/s ? Dans quelle direction ? Quelles requêtes exactement ?
La plupart de ou vers mail.hogskoll.bollnas.se
Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y a énormément de paquets fragmentés.
Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS génère de la fragmentation.
Grmbl, j'aurais pas un open-DNS avec la recursion ouverte, moi ?
Pas besoin de récursion ouverte. Il y a quelque temps il y a eu une vague d'attaque DNS par amplification avec usurpation d'adresse qui exploitait une particularité de certains serveurs non récursifs : quand on leur fait une requête sur "." (la racine), il renvoient la liste des serveurs racines. Petite requête, grosse réponse que se mange la victime dont l'adresse est usurpée. Pour l'éviter, j'avais mis l'option additional-from-cache de BIND à no, du coup la réponse est petite et il n'y a plus d'amplification. Par contre le débit des requêtes n'avait rien à voir avec ce que tu décris.
Alors, c'est quoi ce bo**el ?
Un (D)DoS ?
Salut,
Xavier a écrit :
Xavier <xavier@groumpf.org> wrote:
En y regardant de plus près avec WireShark, je constate un débit de
100 Mb/s en requêtes DNS !!!
100 Mbits/s sur une ligne à 8 Mbit/s ? Dans quelle direction ? Quelles
requêtes exactement ?
La plupart de ou vers mail.hogskoll.bollnas.se
Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y
a énormément de paquets fragmentés.
Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS
génère de la fragmentation.
Grmbl, j'aurais pas un open-DNS avec la recursion ouverte, moi ?
Pas besoin de récursion ouverte. Il y a quelque temps il y a eu une
vague d'attaque DNS par amplification avec usurpation d'adresse qui
exploitait une particularité de certains serveurs non récursifs : quand
on leur fait une requête sur "." (la racine), il renvoient la liste des
serveurs racines. Petite requête, grosse réponse que se mange la victime
dont l'adresse est usurpée. Pour l'éviter, j'avais mis l'option
additional-from-cache de BIND à no, du coup la réponse est petite et il
n'y a plus d'amplification. Par contre le débit des requêtes n'avait
rien à voir avec ce que tu décris.
En y regardant de plus près avec WireShark, je constate un débit de 100 Mb/s en requêtes DNS !!!
100 Mbits/s sur une ligne à 8 Mbit/s ? Dans quelle direction ? Quelles requêtes exactement ?
La plupart de ou vers mail.hogskoll.bollnas.se
Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y a énormément de paquets fragmentés.
Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS génère de la fragmentation.
Grmbl, j'aurais pas un open-DNS avec la recursion ouverte, moi ?
Pas besoin de récursion ouverte. Il y a quelque temps il y a eu une vague d'attaque DNS par amplification avec usurpation d'adresse qui exploitait une particularité de certains serveurs non récursifs : quand on leur fait une requête sur "." (la racine), il renvoient la liste des serveurs racines. Petite requête, grosse réponse que se mange la victime dont l'adresse est usurpée. Pour l'éviter, j'avais mis l'option additional-from-cache de BIND à no, du coup la réponse est petite et il n'y a plus d'amplification. Par contre le débit des requêtes n'avait rien à voir avec ce que tu décris.
Alors, c'est quoi ce bo**el ?
Un (D)DoS ?
xavier
Pascal Hambourg wrote:
100 Mbits/s sur une ligne à 8 Mbit/s ? Dans quelle direction ? Quelles requêtes exactement ?
Entrant et sortant. Des requêtes normales (A, PTR ou MX) mais pour des domaines qui ne me concernent pas.
Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS génère de la fragmentation.
J'ai rajouté un scrub in all dans ma conf PF, je l'avais oublié.
> Alors, c'est quoi ce bo**el ?
Un (D)DoS ?
On dirait. Ca s'est calmé... Ce qui est curieux c'est que pas mal des requêtes semblaient venir de NICs ou de ROOTs ?? J'ai pas pu garder les captures de WireShark, c'est *beaucoup* trop gros pour mon petit /var de 10GB
-- Xav Disponible au 1/9/2009 <http://www.xavierhumbert.net/perso/CV2.html>
100 Mbits/s sur une ligne à 8 Mbit/s ? Dans quelle direction ? Quelles
requêtes exactement ?
Entrant et sortant. Des requêtes normales (A, PTR ou MX) mais pour des
domaines qui ne me concernent pas.
Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS
génère de la fragmentation.
J'ai rajouté un scrub in all dans ma conf PF, je l'avais oublié.
> Alors, c'est quoi ce bo**el ?
Un (D)DoS ?
On dirait. Ca s'est calmé... Ce qui est curieux c'est que pas mal des
requêtes semblaient venir de NICs ou de ROOTs ?? J'ai pas pu garder les
captures de WireShark, c'est *beaucoup* trop gros pour mon petit /var de
10GB
--
Xav
Disponible au 1/9/2009
<http://www.xavierhumbert.net/perso/CV2.html>
100 Mbits/s sur une ligne à 8 Mbit/s ? Dans quelle direction ? Quelles requêtes exactement ?
Entrant et sortant. Des requêtes normales (A, PTR ou MX) mais pour des domaines qui ne me concernent pas.
Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS génère de la fragmentation.
J'ai rajouté un scrub in all dans ma conf PF, je l'avais oublié.
> Alors, c'est quoi ce bo**el ?
Un (D)DoS ?
On dirait. Ca s'est calmé... Ce qui est curieux c'est que pas mal des requêtes semblaient venir de NICs ou de ROOTs ?? J'ai pas pu garder les captures de WireShark, c'est *beaucoup* trop gros pour mon petit /var de 10GB
-- Xav Disponible au 1/9/2009 <http://www.xavierhumbert.net/perso/CV2.html>
Stephane Bortzmeyer
Pascal Hambourg wrote:
Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y a énormément de paquets fragmentés.
Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS génère de la fragmentation.
Hmmm, prudence, on n'en est plus loin. Une réponse à la question "SOA ripe.net", avec DNSSEC, génère 1409 octets. Avec les en-têtes divers, on s'approche dangereusement des 1500 d'Ethernet.
Pascal Hambourg wrote:
Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y
a énormément de paquets fragmentés.
Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS
génère de la fragmentation.
Hmmm, prudence, on n'en est plus loin. Une réponse à la question "SOA
ripe.net", avec DNSSEC, génère 1409 octets. Avec les en-têtes divers, on
s'approche dangereusement des 1500 d'Ethernet.
Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y a énormément de paquets fragmentés.
Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS génère de la fragmentation.
Hmmm, prudence, on n'en est plus loin. Une réponse à la question "SOA ripe.net", avec DNSSEC, génère 1409 octets. Avec les en-têtes divers, on s'approche dangereusement des 1500 d'Ethernet.
Stephane Bortzmeyer
Xavier wrote:
Ce qui est curieux c'est que pas mal des requêtes semblaient venir de NICs ou de ROOTs ??
Des noms ! Ou, plutôt, le résultat de tcpdump.
J'ai pas pu garder les captures de WireShark, c'est *beaucoup* trop gros pour mon petit /var de 10GB
Il aurait fallu en garder un échantillon, au moins.
Xavier wrote:
Ce qui est curieux c'est que pas mal des
requêtes semblaient venir de NICs ou de ROOTs ??
Des noms ! Ou, plutôt, le résultat de tcpdump.
J'ai pas pu garder les
captures de WireShark, c'est *beaucoup* trop gros pour mon petit /var de
10GB
Il aurait fallu en garder un échantillon, au moins.
