[Berlin-wireless] vpn03: dns server problem
Sven-Ola Tuecke
sven-ola
Mi Dez 18 09:04:51 CET 2013
Moins Daniel,
wieder was gelernt :( Ich hätte vermutet, der Betrieb eines global
erreichbaren dnsmasq oder bind wäre einigermaßen Nebeneffektfrei. OK -
wir brauchen das nicht für den Dienst, also zugemacht:
root at vpn03:~# cat /etc/dnsmasq.d/do-not-serve-globally
bind-interfaces
except-interface=eth0
except-interface=tun64
// Sven-Ola
Am 17.12.2013 10:10, schrieb Daniel Paufler:
> Hallo
>
> 77.87.48.1 ist eigene Hardware und sollte DNS schnell beantworten.
>
> Nach einem kurzen Check warum das DNS so langsam ist kann ich sagen:
> Wir werden gerade für einen DNS-amplify angriff benutzt. Die dnsmasqs
> sind recursive offen, und landen dann alle früher oder später bei
> 77.87.48.1.
>
> Auch hatte ich die Tage eine DDos Mail ...
>
> "We received a DDoS attack from 1 or more IPs belonging to your
> organization.
>
> [...]
>
> Attacking IP(s):
> 77.87.48.50
> 77.87.49.0
>
> Attacking Port(s): 53
>
> [...]
> "
>
> Ich suche gerade, wie wir die queries an unsere dnsmasq nur für unsere
> IPs zulassen können ... bind auf nur "interne" interfaces ist schon
> mal ne idee, aber was, wenn die public sind *hmpf*
>
> Grüße
>
> Daniel
>
>
> On 16/12/13 08:18, Sven-Ola Tuecke wrote:
> > Moins,
>
> > das ist eher so ein Gefühl ("SSHakelig"). In einer VM kann man ja
> > nicht durch die Wand gucken, was auf den anderen VMs gerade tobt.
> > Schon das Login ist recht langsam - ging mal schneller. Gerade das
> > Login kann absolut an den Antwortzeiten des DNS liegen. Und die
> > DNS-IP wurde mir beim Einrichten von Daniel_P geflüstert - unser
> > Hardware/BGP-Admin wird wissen was da läuft. Da Patrick schon mit
> > "not me" geantwortet hat, reiche ich das Ticket mal an Daniel
> > weiter, etwa:
>
> > Hey Daniel, guckst du mal was mit dem DNS auf 77.87.48.1 los ist?
> > BGP-Schluckauf?
>
> > // Sven-Ola
>
> > Am 16.12.2013 03:07, schrieb Philipp Borgers:
> >>> in letzter Zeit gibbet eh Performance-Probleme.
> >> Die äußern sich wie?
> >>
>
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 263 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20131218/ef28b3df/attachment.pgp>
Mehr Informationen über die Mailingliste Berlin