Mensajes

Estimados,

Hace exactamente 2 días vengo luchando con un problema de dns spoofing, donde aparantemente nuestro servidor bind9 esta siendo utilizado como amplificador, lo cual causa el colapso del servidor dado que el proceso named termina ocupando el 80 o 90 % de los recursos.

He habilitado todos los logs de bind9 e instalado y configurado fail2ban pero no logro dar con las directivas correctas para que bind escriba correctamente el log de security.log para que este sea utilizado por fail2ban

Actualmente estoy logeando todos los queries al dns en /var/logs/named/queries.log el cual se llena con queries del tipo:

06-Apr-2013 17:01:28.061 client 198.47.121.99#9317: query: . IN ANY +E

Miles de queries con distintas IP's, también aparece muchas veces el dominio deniedstresser.com y el dominio isc.org con entradas como la siguiente:

06-Apr-2013 17:01:28.063 client 184.154.62.139#8952: query: deniedstresser.com IN ANY +E
06-Apr-2013 17:01:28.076 client 188.165.220.115#50886: query: isc.org IN ANY +E


Agradezco cualquier ayuda que puedan brindarme