Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 
Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum
Jazyk
Výber jazykovej mutácie:

FAQ  •  Search  •  Register  •  Log in to check your private messages
Log in  •  Maximize
The time now is 26.04.2024 - 02:04

SKFREE Forum Index » SKFree Network » SKFREE Pokec

Som debil ja, ci satroadmin?

Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
 
Author Message
fleg
Post subject: Som debil ja, ci satroadmin?  PostPosted: 16.04.2014 - 12:20 #106338
Majster


Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
Dnes ma presviedcal admin zo Satra, ze ich zakaznici, ktorych servisujem flooduju ich dnska nezmyselnymi poziadavkami na neexistujuce domeny.
Vsetky IP, ktore si na blacklistoch maju spolocne to, ze gw je RB750, ako som pozeral s verziami od 4 do 5.
V telefone mi tvrdil, ze u inych zakaznikoch pomohla vymena routra a ze trafik videl aj vtedy ked som fyzicky odpojil celu LANku, takze podla neho to robi samotny router.
Na routroch som nastavil navyse uz davnejsie google a opendns servre a aj tak tvrdi, ze neustale vidi traffic na ich dnska, Ja z lanky cez torch nic nevidim a pride mi divne, zeby ma mali Mikrotiky nejaku dieru cez, ktoru by takto vedeli floodovat dns ISP.
Stretol som sa niekto s niecim takym? Nejde mi do hlavy, zeby nieco existovalo, ved by sa to davno prevalilo, navyse mam RB750 aj u inych zakaznikov s verejnymi IP a ISP a tam nikto nic nehlasil.
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
kotol
Post subject: RE: Som debil ja, ci satroadmin?  PostPosted: 16.04.2014 - 13:22 #106339
Guru


Joined: Júl 14, 2005
Posts: 1591
podla mna floodovat nemozu pretoze im stale nechodi pripojenie Smile

satro je firma ako z ineho sveta... mame od nich zaloznu linku v galante.. a pomer vypadkov nasho internetu k satru je asi 0:123

ale ked ich clovek upozorni ze nieco tam maju silne nedorisene.. tak je vsetko v najvacsom poriadku Smile
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
kubiik
Post subject: RE: Som debil ja, ci satroadmin?  PostPosted: 16.04.2014 - 16:00 #106340
Guru


Joined: Jan 24, 2004
Posts: 1685
zaznamenal som dva divne podobne pripady

1) RB co spravuje nejaky tipek z lightstormu u jedneho nasho pripojeneho klienta- vraj je vsetko OK ale lezie cez ten RB (neviemaky) stale sypacka na port 53
2) kamarat ma nejaku velku telku sony. tiez sa daco od neho sypalo na port 53. po odpojeni telky to prestalo....
 
 View user's profile Send private message ICQ Number 
Reply with quote Back to top
JOFO
Post subject: RE: Som debil ja, ci satroadmin?  PostPosted: 16.04.2014 - 17:41 #106342
Majster


Joined: Jan 08, 2006
Posts: 2584
ja som mal v poslednej dobe tiez podobne problemy.. zrazu sa na uplinkovom potre mikrotiku zacal flood na 53ke.. Divne bolo, ze na LAN portoch bol klud. Tak som do firewallu pridal dropovanie UDP53 z inych ako lokalnycn IPciek.. A odvtedy sa vyrvovnal trafik na LAN a WAN portoch a je pokoj.. Akonahle pravidlo zrusim, vybehne na WAN porte hned niekolkomegabitovy trafik na DNSka... vizera to ako nejaky utok alebo nieco podobne..
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
lol
Post subject: RE: Som debil ja, ci satroadmin?  PostPosted: 16.04.2014 - 19:04 #106343
Ucen


Joined: Jan 15, 2005
Posts: 768
Fleg a napadlo ta napr ze:
- na WANe mas DHCP klienta, satracky DHCP server ti v odpovedi posiela okrem ineho aj ich dns IPcky
- na WANe mas od satra verejnu IP
- v default configu MK mas povoleny DNS cache kde sa ako relay pouziju prave IP dnsov ziskane od satra.

Takze inymi slovami, na verejnej IP ti bezi public DNS cache, ktory vsetko smeruje na server satra zo sourcovou IP sato zakaznika... To ze kompy zakaznika pouzivaju ine DNS s tym nema nic spolocne, rovnako na LAN strane nic divne nevidis ani nemozes....

Zahada vyriesena, ziadny backdoor ani vyssia moc Very Happy
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
pixall
Post subject: RE: Som debil ja, ci satroadmin?  PostPosted: 16.04.2014 - 19:07 #106344
Majster


Joined: Okt 21, 2003
Posts: 4247
DNS je oblubeny sposob na zosilnenie DDoS... poslem tvojmu DNS serveru UDP paket, v ktorom ho ziadam o odpoved (co najdlhsiu). do paketu nepravdivo uvedeniem ze odosielatelom je IPcka v sieti SATRO. ja od seba odosielam malicke DNS requesty, a tvoj DNS server bude bombardovat SATRO velkymi odpovedami.

preto nie je rozumne
1) nechavat svoj DNS server otvoreny ako resolver pre cely svet (plati pre kazdeho)
2) pustat do siete pakety s akymikolvek zdrojovymi IP (plati pre nadnarodnych ISP)
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
fleg
Post subject: RE: Som debil ja, ci satroadmin?  PostPosted: 16.04.2014 - 20:56 #106346
Majster


Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
Ok debil som ja, neuvedomil som si, ze v defaulte je dnsko MT resolverom pre remote request. Takze neslo o samotnu cache, ta nie je problem, problem je, ze boli povolene remote reuquesty.
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
psichac
Post subject: RE: Som debil ja, ci satroadmin?  PostPosted: 16.04.2014 - 21:45 #106348
Basic


Joined: Júl 20, 2012
Posts: 94
Location: Bratislava
dobre ale ked disabluje v IP/DNS "allow remote requests", bude mu fungovať na LAN strane DNS ? Lebo ja ked to vypnem tak mi stále hádže "stránka nenájdená". Akonáhle dám fajku a apply, všetko ide. Alebo robím niekde chybu? Lokálne stroje majú DNS IP mikrotiku. A v dynamic servers sú IP od ISP.

Takže jedine blokovať z wanky input 53 ?
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
midnight_man
Post subject: RE: Som debil ja, ci satroadmin?  PostPosted: 16.04.2014 - 21:58 #106349
Majster


Joined: Feb 14, 2011
Posts: 2544
spravne a ak aj niektorý iny HW v sieti je DNS tak input + forward.
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
airbilly
Post subject: RE: Som debil ja, ci satroadmin?  PostPosted: 17.04.2014 - 07:56 #106352
Guru


Joined: Mar 13, 2005
Posts: 1867
Location: Nitra
Tiez sme mali tento a minuly tyzden problem s DNS, - dva mikrotiky na verejnej IP mali zapnutu cache a tym na nas server prichadzalo okolo 2000 poziadaviek za sekundu. Mali sme to takto roky a zrazu to nejaky bot objavil.
 
 View user's profile Send private message Send e-mail Visit poster's website MSN Messenger ICQ Number 
Reply with quote Back to top
Display posts from previous:     
All times are GMT
Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
 
Jump to:  

SKFREE Forum Index » SKFree Network » SKFREE Pokec
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits

(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)