Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - diems

#1
Estimados,

Hace exactamente 2 días vengo luchando con un problema de dns spoofing, donde aparantemente nuestro servidor bind9 esta siendo utilizado como amplificador, lo cual causa el colapso del servidor dado que el proceso named termina ocupando el 80 o 90 % de los recursos.

He habilitado todos los logs de bind9 e instalado y configurado fail2ban pero no logro dar con las directivas correctas para que bind escriba correctamente el log de security.log para que este sea utilizado por fail2ban

Actualmente estoy logeando todos los queries al dns en /var/logs/named/queries.log el cual se llena con queries del tipo:

06-Apr-2013 17:01:28.061 client 198.47.121.99#9317: query: . IN ANY +E

Miles de queries con distintas IP's, también aparece muchas veces el dominio deniedstresser.com y el dominio isc.org con entradas como la siguiente:

06-Apr-2013 17:01:28.063 client 184.154.62.139#8952: query: deniedstresser.com IN ANY +E
06-Apr-2013 17:01:28.076 client 188.165.220.115#50886: query: isc.org IN ANY +E


Agradezco cualquier ayuda que puedan brindarme