Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
атака на DNS? или что это? 27.03.03 11:13
Автор: csa Статус: Незарегистрированный пользователь
|
заметил большой входящий трафик на порт 53
(named, настроенный другим админом, работал как кеш для всех)
заблокировал ипы, с которых он шел, но трафик все равно валится, хотя пакеты от них дропаются в iptables (они просто в пустоту шлют? :-\ )
писал владельцам сетей - тихо...
строчки из ulogd
Mar 27 11:04:28 www IN=eth0 OUT= MAC=xx SRC=66.103.143.233 DST=xx LEN=60 T
OS=00 PREC=0x00 TTL=43 ID=18697 DF PROTO=TCP SPT=37813 DPT=53 SEQ=2548665071 ACK=0 WINDOW=5840 SYN URGP=0
Mar 27 11:04:28 www IN=eth0 OUT= MAC=xx SRC=66.103.143.234 DST=xx LEN=60 T
OS=00 PREC=0x00 TTL=43 ID=38658 DF PROTO=TCP SPT=4323 DPT=53 SEQ=718051588 ACK=0 WINDOW=5840 SYN URGP=0
отличившиеся хосты (возможно не все)
216.22.104.4/6/11/12/13/15/16/71/72
66.103.143.231/232/233/234
в дампе tcpdump'а видно разные доткомы, но что именно в этих пакетах - не знаю
(есть где-то viewer DNS-запросов или что-то в этом духе?)
размер пакета практически всегда одинаков
что можно сделать? меня этот трафик уже достал :(
|
|
|
подробно о проекте
Анализ криптографических сетевых...
