Szombat, kicsivel 0 óra előtt indult a versenyző, s mivel DDOS támadás áldozata lett (Mi az a DDOS?), a mi DNS szervereinket is folyamatosan kérdezgette. Két teljesen független rendszeren is észrevettem, ahogy fej-fej mellett egyszerre 3 DNS-szervert molesztál. Amerikai IP, 69.50.142.11. Az írás pillanatában is, de amint odakoncentrálok, kitiltom a szerverekről. Update: András hozzászólásának köszönhetően (lásd hozzászólások) módosítanék: az adott IP nem maga a támadó, hanem egy megtámadott gép, melyen keresztül érkeznek a DNS kérések.

Írtam egy levelet az abuse@ címre, ahová az IP tartozik, meglepően gyorsan válaszoltak, megerősítették, hogy valóban rosszalkodás van.

Server 1:
@400000004971db631bcb3a0c 195.56.170.1 43039 [64341] + A orosznyelvtanar.hu
@400000004971db631bcb45c4 195.56.170.1 43039 [27085] + MX orosznyelvtanar.hu
@400000004971db6413f77534 69.50.142.11 39257 [48258] – NS .
@400000004971db642a4645f4 212.40.96.96 35712 [08282] + A www.gyermektapeta.hu
@400000004971db6613e112bc 69.50.142.11 29548 [31275] – NS .
@400000004971db6813c3a77c 69.50.142.11 35840 [07686] – NS .
@400000004971db6a13770a34 69.50.142.11 25002 [02503] – NS .
@400000004971db6a36ab0884 72.30.65.43 44407 [16180] + A www.top7.hu
@400000004971db6c13831824 69.50.142.11 45234 [22399] – NS .
@400000004971db6e09110d74 208.69.36.12 42458 [05451] + MX bede.hu
@400000004971db6e130295b4 69.50.142.11 51636 [32524] – NS .
@400000004971db70134d566c 69.50.142.11 59414 [55577] – NS .
@400000004971db721379409c 69.50.142.11 47131 [57565] – NS .
@400000004971db740f514d84 208.67.217.4 37960 [27920] + MX mukoromcentrum.hu


Server2:

@400000004971db8633e4d7ec 69.50.142.11 43673 [25763] – NS .
@400000004971db883375ddc4 69.50.142.11 57843 [18788] – NS .
@400000004971db8a331389e4 69.50.142.11 62084 [62516] – NS .
@400000004971db8c32a92784 69.50.142.11 07829 [57380] – NS .
@400000004971db8e3272a664 69.50.142.11 45206 [28985] – NS .
@400000004971db90323cd124 69.50.142.11 54122 [20593] – NS .
@400000004971db9231d0a9a4 69.50.142.11 33225 [52851] – NS .
@400000004971db9431623834 69.50.142.11 62468 [35146] – NS .
@400000004971db963116d754 69.50.142.11 48740 [32820] – NS .
@400000004971db983090e25c 69.50.142.11 11784 [25128] – NS .
@400000004971db9904fbac44 200.204.0.90 50515 [09629] + MX regijarmu.hu
@400000004971db9a0f245d9c 67.195.37.97 42059 [26332] + A www.szilvasvarad.hu
@400000004971db9a30c61b5c 69.50.142.11 41312 [09727] – NS .
@400000004971db9c314a4364 69.50.142.11 42901 [35097] – NS .


Server3:
@400000004971db833b5cc50c 69.50.142.11 65411 [65278] – NS .
@400000004971db853b1c7fec 69.50.142.11 43028 [32091] – NS .
@400000004971db873aaa1ac4 69.50.142.11 41547 [21424] – NS .
@400000004971db893a4dc224 69.50.142.11 14417 [45915] – NS .
@400000004971db8b39e3dcc4 69.50.142.11 30656 [18893] – NS .
@400000004971db8d39a84eac 69.50.142.11 19636 [33025] – NS .
@400000004971db8e2bc8a41c 193.70.152.22 11371 [43036] + A gitar.hatarozo.hu
@400000004971db8f397f8d14 69.50.142.11 47527 [61848] – NS .
@400000004971db91391f7f3c 69.50.142.11 13829 [52281] – NS .
@400000004971db9338b737ec 69.50.142.11 43348 [27736] – NS .
@400000004971db953867626c 69.50.142.11 07384 [02871] – NS .
@400000004971db9737e2a9dc 69.50.142.11 34604 [18307] – NS .
@400000004971db9937d9c09c 69.50.142.11 53246 [08685] – NS .
@400000004971db9a13f4ae44 210.182.53.21 01028 [19359] + MX fuzer.hu
@400000004971db9a18178c94 200.204.0.232 28865 [41161] + A mail.regijarmu.hu
@400000004971db9b15fd0d1c 200.174.144.14 39840 [19806] + MX alpinepro.hu
@400000004971db9b384f69b4 69.50.142.11 27802 [39981] – NS .
@400000004971db9d1558419c 200.204.0.231 30505 [25256] + A mail.regijarmu.hu
@400000004971db9d38ad7bbc 69.50.142.11 09672 [26378] – NS .
@400000004971db9f38ecd67c 69.50.142.11 56893 [01480] – NS .


0.00 avg. rating (0% score) - 0 votes

2 comments

  1. Korn András

    Válasz

    A történelmi hűség kedvéért: nem a 69.50.142.11-es gép támad, hanem őt támadják. Az ő nevében hamisítanak DNS-kéréseket, amikre sok DNS-szerver ész nélkül válaszol. Kicsit olyan, mint a smurf, azzal a különbséggel, hogy a támadónak majdnem annyira drága, mint az áldozatnak (azért csak majdnem, mert a válasz sokkal nagyobb, mint a kérés).

    Egyetlen helyesen beállított nameserver (a rootszervereket leszámítva) sem lenne szabad, hogy válaszoljon ezekre a kérésekre, hiszen nem autoritatívak a root zónára, tehát semmilyen érvényes választ nem tudnak adni arra a kérdésre, kik a root zóna NS-ei.

    A tinydns okosan csöndben is marad. 🙂

  2. Válasz

    Helló András!

    Köszönöm a hozzászólást, valamint a pontosítást is. Érdekes, hogy az amerikai kolléga is azt mondta, hogy nem a logolt IP támad, hanem őt támadják, de mégsem voltam képes felfogni… 😀

Leave a comment

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük