DNS-rosszfiú csíntalankodása

Szombat, kicsivel 0 óra előtt indult a versenyző, s mivel DDOS támadás áldozata lett (Mi az a DDOS?), a mi DNS szervereinket is folyamatosan kérdezgette. Két teljesen független rendszeren is észrevettem, ahogy fej-fej mellett egyszerre 3 DNS-szervert molesztál. Amerikai IP, 69.50.142.11. Az írás pillanatában is, de amint odakoncentrálok, kitiltom a szerverekről. Update: András hozzászólásának köszönhetően (lásd hozzászólások) módosítanék: az adott IP nem maga a támadó, hanem egy megtámadott gép, melyen keresztül érkeznek a DNS kérések. Írtam egy levelet az abuse@ címre, ahová az IP tartozik, meglepően gyorsan válaszoltak, megerősítették, hogy valóban rosszalkodás van. Server 1: @400000004971db631bcb3a0c 195.56.170.1 43039 [64341] + A orosznyelvtanar.hu @400000004971db631bcb45c4 195.56.170.1 43039 [27085] + MX orosznyelvtanar.hu @400000004971db6413f77534 69.50.142.11 39257 [48258] - NS . @400000004971db642a4645f4 212.40.96.96 35712 [08282] + A www.gyermektapeta.hu @400000004971db6613e112bc 69.50.142.11 29548 [31275] - NS . @400000004971db6813c3a77c 69.50.142.11 35840 [07686] - NS . @400000004971db6a13770a34 69.50.142.11 25002 [02503] - NS . @400000004971db6a36ab0884 72.30.65.43 44407 [16180] + A www.top7.hu @400000004971db6c13831824 69.50.142.11 45234 [22399] - NS . @400000004971db6e09110d74 208.69.36.12 42458 [05451] + MX bede.hu @400000004971db6e130295b4 69.50.142.11 51636 [32524] - NS . @400000004971db70134d566c 69.50.142.11 59414 [55577] - NS . @400000004971db721379409c 69.50.142.11 47131 [57565] - NS . @400000004971db740f514d84 208.67.217.4 37960 [27920] + MX mukoromcentrum.hu Server2: @400000004971db8633e4d7ec 69.50.142.11 43673 [25763] - NS . @400000004971db883375ddc4 69.50.142.11 57843 [18788] - NS . @400000004971db8a331389e4 69.50.142.11 62084 [62516] - NS . @400000004971db8c32a92784 69.50.142.11 07829 [57380] - NS . @400000004971db8e3272a664 69.50.142.11 45206 [28985] - NS . @400000004971db90323cd124 69.50.142.11 54122 [20593] - NS . @400000004971db9231d0a9a4 69.50.142.11 33225 [52851] - NS . @400000004971db9431623834 69.50.142.11 62468 [35146] - NS . @400000004971db963116d754 69.50.142.11 48740 [32820] - NS . @400000004971db983090e25c 69.50.142.11 11784 [25128] - NS . @400000004971db9904fbac44 200.204.0.90 50515 [09629] + MX regijarmu.hu @400000004971db9a0f245d9c 67.195.37.97 42059 [26332] + A www.szilvasvarad.hu @400000004971db9a30c61b5c 69.50.142.11 41312 [09727] - NS . @400000004971db9c314a4364 69.50.142.11 42901 [35097] - NS . Server3: @400000004971db833b5cc50c 69.50.142.11 65411 [65278] - NS . @400000004971db853b1c7fec 69.50.142.11 43028 [32091] - NS . @400000004971db873aaa1ac4 69.50.142.11 41547 [21424] - NS . @400000004971db893a4dc224 69.50.142.11 14417 [45915] - NS . @400000004971db8b39e3dcc4 69.50.142.11 30656 [18893] - NS . @400000004971db8d39a84eac 69.50.142.11 19636 [33025] - NS . @400000004971db8e2bc8a41c 193.70.152.22 11371 [43036] + A gitar.hatarozo.hu @400000004971db8f397f8d14 69.50.142.11 47527 [61848] - NS . @400000004971db91391f7f3c 69.50.142.11 13829 [52281] - NS . @400000004971db9338b737ec 69.50.142.11 43348 [27736] - NS . @400000004971db953867626c 69.50.142.11 07384 [02871] - NS . @400000004971db9737e2a9dc 69.50.142.11 34604 [18307] - NS . @400000004971db9937d9c09c 69.50.142.11 53246 [08685] - NS . @400000004971db9a13f4ae44 210.182.53.21 01028 [19359] + MX fuzer.hu @400000004971db9a18178c94 200.204.0.232 28865 [41161] + A mail.regijarmu.hu @400000004971db9b15fd0d1c 200.174.144.14 39840 [19806] + MX alpinepro.hu @400000004971db9b384f69b4 69.50.142.11 27802 [39981] - NS . @400000004971db9d1558419c 200.204.0.231 30505 [25256] + A mail.regijarmu.hu @400000004971db9d38ad7bbc 69.50.142.11 09672 [26378] - NS . @400000004971db9f38ecd67c 69.50.142.11 56893 [01480] - NS .
DNS-rosszfiú csíntalankodása
0 szavazat, 0.00 átlagos pontszám (0%-ra értékelve)
2 thoughts on “DNS-rosszfiú csíntalankodása
  1. A történelmi hűség kedvéért: nem a 69.50.142.11-es gép támad, hanem őt támadják. Az ő nevében hamisítanak DNS-kéréseket, amikre sok DNS-szerver ész nélkül válaszol. Kicsit olyan, mint a smurf, azzal a különbséggel, hogy a támadónak majdnem annyira drága, mint az áldozatnak (azért csak majdnem, mert a válasz sokkal nagyobb, mint a kérés).

    Egyetlen helyesen beállított nameserver (a rootszervereket leszámítva) sem lenne szabad, hogy válaszoljon ezekre a kérésekre, hiszen nem autoritatívak a root zónára, tehát semmilyen érvényes választ nem tudnak adni arra a kérdésre, kik a root zóna NS-ei.

    A tinydns okosan csöndben is marad. 🙂

  2. Helló András!

    Köszönöm a hozzászólást, valamint a pontosítást is. Érdekes, hogy az amerikai kolléga is azt mondta, hogy nem a logolt IP támad, hanem őt támadják, de mégsem voltam képes felfogni… 😀

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.