2012/9/17 Enio Marconcini <eni...@gmail.com>: > amigos boa tarde... tenho sofrido desde sábado um problema que só pode ser > alguma tentativa de ataque ou flood dns que ta pondo o processamento do > servidor na tampa, e o que é pior consumindo muito o link. > > pra ter noção quando eu rodo um tcpdump pra capturar o fluxo na porta 53 as > linhas que aparece são tantas que no começo nem acreditei que se tratava > apenas de fluxo na porta 53, é muita coisa... e o que é pior é que os ips > origem são diversos, 81.84.52.187, 173.68.241.225, > 91.121.3.44, 46.163.67.40 etc etc são tantos que acaba por se confundir > com os verdadeiros. > > Outra coisa notada é que, isso ocorre na placa externa. Olhei o fluxo na > nic interna e vi que não tinha nada de estranho (tipo um virus que imaginei > no começo). > > Penso que dropar conexões não ajuda muito, uma vez que mesmo assim os > pacotes chegarão no servidor (para serem dropados) e quando isso ocorre o > link já foi consumido. > Outra coisa que notei de estranho é que o gráfico de consumo da nic externa > mostra um fluxo alto de saída desde último sábado. > > Neste caso o que é a medida mais certa a ser tomada?
Será que você deixou o servidor recursivo aberto na interface externa? Se for bind, como está o parâmetro allow-query? -- Renato Botelho ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
