Forums Neueste Beiträge
 

Echten Absender bei UDP feststellen?

18/02/2013 - 22:20 von Bernd Hohmann | Report spam
Ich hab hier bisserl das Problem, dass mein primary Nameserver mit
Sinnlosanfragen nach ripe.net und isc.org zugeknallt wird (+50 Queries
per Sekunde, da kommen im Monat gerne paar TB zusammen die für mich
teuer sind).

Das Problem hab ich jetzt erstmal primitiv auf spàter verschoben
(sprich: Script guckt regelmàssig ins query.log rein und schubst
störende IPs in iptables bis zum Reboot in der Nacht).

Aber irgendwie hab ich den Verdacht, dass die Absender gespooft sind
(massive Hàufung aus den Netzen von OVH).

Gibts irgendeine automatisierte Lösung bei UDP-NS Anfragen den
tatsàchlichen Absender herauszufinden?

Bernd
 

Lesen sie die antworten

#1 Juergen Ilse
19/02/2013 - 00:46 | Warnen spam
Hallo,

Bernd Hohmann wrote:
Ich hab hier bisserl das Problem, dass mein primary Nameserver mit
Sinnlosanfragen nach ripe.net und isc.org zugeknallt wird (+50 Queries
per Sekunde, da kommen im Monat gerne paar TB zusammen die für mich
teuer sind).



Konfiguriere ihn so, dass er rekursive Antwirten nur fuer dein lokales
Netz liefert, das sollte dem Spuk ein Ende bereiten koennen.

Das Problem hab ich jetzt erstmal primitiv auf spàter verschoben
(sprich: Script guckt regelmàssig ins query.log rein und schubst
störende IPs in iptables bis zum Reboot in der Nacht).



Wenn die anfragenden Hosts auf rekzrsuve Abfragen keine Antworten
bekommen, sollte es fuer die anfragenden sehr schnell uninteressant
werden und dementsorechend die Flut solcher Anfragen abnehmen, ganz
ohne Paketfilter bemuehen zu muessen ...

Aber irgendwie hab ich den Verdacht, dass die Absender gespooft sind
(massive Hàufung aus den Netzen von OVH).



DNS-Amplification-Attacken sind nicht wirklich etwas neues. Man kann
das aber u.U. erschweren, indem man nicht fuer heden Hinz und Kunz
rekursive Abfragen beantwortet ...

Gibts irgendeine automatisierte Lösung bei UDP-NS Anfragen den
tatsàchlichen Absender herauszufinden?



Nein. IP-Spoofing laesst sich nur an der Quelle sinnvoll bekaempfen,
nicht beim Empfaenger des Traffivs miz gespoofter Absenderadresse.

Tschuess,
Juergen Ilse ()
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Ähnliche fragen