Jump to content
  • 0

DNS товари до 100% CPU


AJO

Въпрос

От известно време процесора на 751U на моменти работи на 100% (поне така показваха графиките) Днес случайно докато гледах логове видях, че пак е на 100% и проблема беше в процес DNS.

DNS-a е достъпен само от локалната мрежа не повече от 10 20 машини и не би трябвало да има проблеми. 

Интересно е , че като изчистя кеша и веднага се лепват няколко заявки към isc.org. Пробвах някак си да дропя заявките към DNS за този сайт но .. нещо не се получи.. моля за малко помощ.?

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0

Имаш ли статични правила в /ip dns static

спри в такъв момент на натоварване "allow remote request" за да видиш ще паднат ли заявките

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

  • 0

Имаш ли статични правила в /ip dns static

спри в такъв момент на натоварване "allow remote request" за да видиш ще паднат ли заявките

не нямам статични ... 

и да когато махна allow remote request натоварването спира, но пък и натоварването не е постоянно а на пикове по няколко минути.. до час

Редактирано от AJO
Адрес на коментара
Сподели в други сайтове

  • 0

Опитай да намалиш максималният размер на пакетите. Намали и размера на кеша, както и времето за което се пази информацията. Пример:

/ip dns 
max-udp-packet-size: 512
cache-size: 10240KiB
cache-max-ttl: 1d

Чувал съм колеги да се оплакват от flash-а в у-вата, че не смогват да записват бързо и по-горното трябва да помогне.

Адрес на коментара
Сподели в други сайтове

  • 0

ако флаша не смогва ще натоварва "flash" в /tools profile

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

  • 0

Опитай да намалиш максималният размер на пакетите. Намали и размера на кеша, както и времето за което се пази информацията. Пример:

/ip dns 
max-udp-packet-size: 512
cache-size: 10240KiB
cache-max-ttl: 1d

Чувал съм колеги да се оплакват от flash-а в у-вата, че не смогват да записват бързо и по-горното трябва да помогне.

   servers: 8.8.8.8,8.8.4.4
        dynamic-servers: 
  allow-remote-requests: yes
    max-udp-packet-size: 512
   query-server-timeout: 2s
    query-total-timeout: 10s
             cache-size: 10240KiB
          cache-max-ttl: 1w
             cache-used: 31KiB

 горе долу и при мен са така ... но не помага на CPU

Адрес на коментара
Сподели в други сайтове

  • 0

имах подобен случай за ДНС но не беше достъпен само от вътрешната и имаше доста заявки към него и товареше. сигурен ли си че се достъпва само от вътрешната мрежа? Колко днс заявки идват на интерфейса на вътрешната?

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

  • 0

уж така трябва да работи 


64   chain=forward action=accept protocol=udp dst-address=8.8.8.8 src-address-list=DNS-access dst-port=53 

65   chain=forward action=accept protocol=udp dst-address=8.8.4.4 src-address-list=DNS-access dst-port=53 

66   chain=forward action=accept protocol=tcp dst-address=8.8.8.8 src-address-list=DNS-access dst-port=53 

67   chain=forward action=accept protocol=tcp dst-address=8.8.4.4 src-address-list=DNS-access dst-port=53 

68   chain=forward action=drop protocol=udp dst-address=8.8.8.8 dst-port=53 

69   chain=forward action=drop protocol=udp dst-address=8.8.4.4 dst-port=53 

70   chain=forward action=drop protocol=tcp dst-address=8.8.8.8 dst-port=53 

71   chain=forward action=drop protocol=tcp dst-address=8.8.4.4 dst-port=53 

Flags: X - disabled, D - dynamic 
 #   LIST                                                                                    ADDRESS  
 0   DNS-access                                                                              192.168.1
 1   DNS-access                                                                              10.1.9.0/

Адрес на коментара
Сподели в други сайтове

  • 0

като цяло може да добави само 1 ред за спиране отвън

chain=input action=drop in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС protocol=udp dst-port=53

chain=input action=drop in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС protocol=tcp dst-port=53

  • Харесай 1

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

  • 0

като цяло може да добави само 1 ред за спиране отвън

chain=input action=drop in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС protocol=udp dst-port=53

chain=input action=drop in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС protocol=tcp dst-port=53

 

PCC load balancing с два PPPoE са външните :)

За това съм дефинирал достъп само от вътрешните и се надявам всички дето не са в списъка да ги дропи :)

Редактирано от AJO
Адрес на коментара
Сподели в други сайтове

  • 0

Няма значение колко са, факт е, че порта е отворен и ти ползват DNS сървърчето за DrDoS :)

Ако е лесно, не е интересно :)

Адрес на коментара
Сподели в други сайтове

  • 0

PCC load balancing с два PPPoE са външните :)

За това съм дефинирал достъп само от вътрешните и се надявам всички дето не са в списъка да ги дропи :)

като са 2 какво пречи да добавиш още един път 2-та реда и за втория доставчик?

Не си си защитил мрежата правилно. с горните правила си казал на рутера: "Не разрешавай ип-та от вътрешната мрежа освен описаните по-горе 2мрежи да достъпват 8.8.х.х"

къде каза на рутера "не разрешавай достъп до протокола DNS или до порта на който отговаряш от външните интерфейси"

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

  • 0

Няма значение колко са, факт е, че порта е отворен и ти ползват DNS сървърчето за DrDoS :)

готово... блокнах 53 на двете PPPoE .. на единия започна да дропи доста пакети, но CPU-то си е на 100% пак :(

 

 

ЕДИТ: Докато писах поста има блокирани 200 000 пакета и сега е на около 10% надявам се да се е оправило ... че то и преди така уж се оправи и после пак нагоре :)

Редактирано от AJO
Адрес на коментара
Сподели в други сайтове

  • 0

от 2 3 месеца съм забелязал че атакуват 53-ти порт на удп и съм ги дропнал

 

М да... и при мен проработи за 2 часа 800МБ дроп ... и сега всичко в супер :) благодаря за помоща на всички

Адрес на коментара
Сподели в други сайтове

  • 0

Уязвимостта е доста стара, ето малко образователен материал: http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack

Редактирано от SubmitBG

Ако е лесно, не е интересно :)

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.