DNS товари до 100% CPU

[AJO]

От известно време процесора на 751U на моменти работи на 100% (поне така показваха графиките) Днес случайно докато гледах логове видях, че пак е на 100% и проблема беше в процес DNS.

DNS-a е достъпен само от локалната мрежа не повече от 10 20 машини и не би трябвало да има проблеми. 

Интересно е , че като изчистя кеша и веднага се лепват няколко заявки към isc.org. Пробвах някак си да дропя заявките към DNS за този сайт но .. нещо не се получи.. моля за малко помощ.?

[Mupo neTkoB]

Имаш ли статични правила в /ip dns static

спри в такъв момент на натоварване "allow remote request" за да видиш ще паднат ли заявките

[AJO]

Имаш ли статични правила в /ip dns static

спри в такъв момент на натоварване "allow remote request" за да видиш ще паднат ли заявките

не нямам статични ... 

и да когато махна allow remote request натоварването спира, но пък и натоварването не е постоянно а на пикове по няколко минути.. до час

Edited September 4, 2013 by AJO

[hgd]

Опитай да намалиш максималният размер на пакетите. Намали и размера на кеша, както и времето за което се пази информацията. Пример:

/ip dns 
max-udp-packet-size: 512
cache-size: 10240KiB
cache-max-ttl: 1d

Чувал съм колеги да се оплакват от flash-а в у-вата, че не смогват да записват бързо и по-горното трябва да помогне.

[Mupo neTkoB]

ако флаша не смогва ще натоварва "flash" в /tools profile

[AJO]

Опитай да намалиш максималният размер на пакетите. Намали и размера на кеша, както и времето за което се пази информацията. Пример:

/ip dns 
max-udp-packet-size: 512
cache-size: 10240KiB
cache-max-ttl: 1d

Чувал съм колеги да се оплакват от flash-а в у-вата, че не смогват да записват бързо и по-горното трябва да помогне.

   servers: 8.8.8.8,8.8.4.4
        dynamic-servers: 
  allow-remote-requests: yes
    max-udp-packet-size: 512
   query-server-timeout: 2s
    query-total-timeout: 10s
             cache-size: 10240KiB
          cache-max-ttl: 1w
             cache-used: 31KiB

 горе долу и при мен са така ... но не помага на CPU

[Mupo neTkoB]

имах подобен случай за ДНС но не беше достъпен само от вътрешната и имаше доста заявки към него и товареше. сигурен ли си че се достъпва само от вътрешната мрежа? Колко днс заявки идват на интерфейса на вътрешната?

[AJO]

уж така трябва да работи 

64   chain=forward action=accept protocol=udp dst-address=8.8.8.8 src-address-list=DNS-access dst-port=53 

65   chain=forward action=accept protocol=udp dst-address=8.8.4.4 src-address-list=DNS-access dst-port=53 

66   chain=forward action=accept protocol=tcp dst-address=8.8.8.8 src-address-list=DNS-access dst-port=53 

67   chain=forward action=accept protocol=tcp dst-address=8.8.4.4 src-address-list=DNS-access dst-port=53 

68   chain=forward action=drop protocol=udp dst-address=8.8.8.8 dst-port=53 

69   chain=forward action=drop protocol=udp dst-address=8.8.4.4 dst-port=53 

70   chain=forward action=drop protocol=tcp dst-address=8.8.8.8 dst-port=53 

71   chain=forward action=drop protocol=tcp dst-address=8.8.4.4 dst-port=53 

Flags: X - disabled, D - dynamic 
 #   LIST                                                                                    ADDRESS  
 0   DNS-access                                                                              192.168.1
 1   DNS-access                                                                              10.1.9.0/

[Mupo neTkoB]

като цяло може да добави само 1 ред за спиране отвън

chain=input action=drop in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС protocol=udp dst-port=53

chain=input action=drop in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС protocol=tcp dst-port=53

[AJO]

като цяло може да добави само 1 ред за спиране отвън

chain=input action=drop in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС protocol=udp dst-port=53

chain=input action=drop in-interface=ВЪНШНИЯ_ТИ_ИНТЕРФЕЙС protocol=tcp dst-port=53

 

PCC load balancing с два PPPoE са външните

За това съм дефинирал достъп само от вътрешните и се надявам всички дето не са в списъка да ги дропи

Edited September 4, 2013 by AJO

[SubmitBG]

Няма значение колко са, факт е, че порта е отворен и ти ползват DNS сървърчето за DrDoS

[Mupo neTkoB]

PCC load balancing с два PPPoE са външните

За това съм дефинирал достъп само от вътрешните и се надявам всички дето не са в списъка да ги дропи

като са 2 какво пречи да добавиш още един път 2-та реда и за втория доставчик?

Не си си защитил мрежата правилно. с горните правила си казал на рутера: "Не разрешавай ип-та от вътрешната мрежа освен описаните по-горе 2мрежи да достъпват 8.8.х.х"

къде каза на рутера "не разрешавай достъп до протокола DNS или до порта на който отговаряш от външните интерфейси"

[AJO]

Няма значение колко са, факт е, че порта е отворен и ти ползват DNS сървърчето за DrDoS

готово... блокнах 53 на двете PPPoE .. на единия започна да дропи доста пакети, но CPU-то си е на 100% пак

 

 

ЕДИТ: Докато писах поста има блокирани 200 000 пакета и сега е на около 10% надявам се да се е оправило ... че то и преди така уж се оправи и после пак нагоре

Edited September 4, 2013 by AJO

[krustanovs]

от 2 3 месеца съм забелязал че атакуват 53-ти порт на удп и съм ги дропнал

[AJO]

от 2 3 месеца съм забелязал че атакуват 53-ти порт на удп и съм ги дропнал

 

М да... и при мен проработи за 2 часа 800МБ дроп ... и сега всичко в супер благодаря за помоща на всички

[SubmitBG]

Уязвимостта е доста стара, ето малко образователен материал: http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack

Edited September 5, 2013 by SubmitBG