[Wien] Re: ** PROBLEM alert - sandwich (Service-Server)/DNSZONE_158.238.193.in-addr.arpa is WARNING **

Teemu Schaabl (spam-protected)
Fr Jun 23 14:17:13 CEST 2006 

Bernd Petrovitsch((spam-protected))@2006.06.23 12:19:46 +0200:
> On Fri, 2006-06-23 at 01:29 +0200, Bernd Petrovitsch wrote:
> > On Thu, 2006-06-22 at 19:07 +0200, Bernd Petrovitsch wrote:
> > [...]
> > > Ursache, da?? der DNS-Server am sandwich gestanden ist, war ein
> > > "Overflow" (> 1000 parallel oder was immer der Default ist) an
> > > rekursiven Queries. 
> > > Das war deshalb m??glich, weil der Nameserver auf *alle* Anfragen aus
> > > aller Welt geantwortet hat.
> > > Das ist ganz schlecht, weil dadurch der sandwich Teil einer DDoS Attacke
> > > werden kann/wird.
> > > Ich hab mal recursive Queries nur f??rs 0xFF Netz erlaubt.
> > Da hab ich ich aber vermutlich etliche vergessen - ich wei?? nicht,
> > welche privaten Netze irgendwo verwendet werden (wie zwischen subway und
> > subwaybk) und welche an sich externen IP-Adressen es lokal noch gibt
> > (wie z.B. 193.239.188.20). Gibt es wo eine Liste?
> > 
> > Anfragen von (anderen) privaten Netzen u. offiziell nicht-existenten
> s/^/Rekursive /
> > IP-Adressen werden ??ber nicht mehr beantwortet.
> "Normale" Anfragen (wie z.B. www.funkfeuer.at) nat??rlich schon (sonst
> macht der DNS-Server keinen Sinn).
> SO, jetzt lauscht der Server auch nur noch auf 127.0.0.1 und
> 192.238.156.2 (und nicht auf allen opnvpn-Interfaces etc. - bringt
> nichts ....).
> Und er loggt ein bi??chen mehr wie fr??her - ich schau mal ein bi??chen
> mit, was da so abgeht .....

macht es vlt. sinn fuers housing einen dedizierten DNS Server aufzustellen?
derzeit geht von meinen servern (mindpack) alles derat lahm, das mein
mta keine mails mehr annimmt :)

just a tuoght,

lg
teemu

-- 
"Every man takes the limits of his own field of vision
 for the limits of the world." - Schopenhauer

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20060623/5887b7a5/attachment.sig>

Mehr Informationen über die Mailingliste Wien