On Thu, Mar 15, 2012 at 05:05:32PM +0000, Christophe HUBERT wrote: Salut, > Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand > nombre de requetes depuis la chine. Autant avoir des requetes depuis > la chine est normal, autant le nombre et le type de requetes est assez > etrange. > > Depuis decembre donc notre trafic DNS a fortement augmente sur la > plage 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs > a partir d'une IP pendant quelques minutes, puis un autre rush a > partir d'une autre ip. Pour prendre un exemple, l'ip 121.12.172.233 a > effectue aujourd'hui pres de 70000 requetes en 10 minutes sur > uniquement une vingtaine de domaines (soit entre 1500 et 3000 fois la > meme requete par domaine). D'ailleurs, les ips chinoises trustent le > top 50 sur nos DNSs depuis le mois de decembre. A priori je ne suis > pas le seul > (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). > Comme l'ip change tout le temps et que je ne peux pas bloquer la chine > (meme si l'envie me demange), je me retrouve a devoir laisser le > trafic se faire. Ca n'impacte de toute facon pas le service plus que > ca. > > Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous > avez pris des mesures ou vous laissez faire aussi ? >
J'ai remarqué sensiblement la même chose sur les DNS de bookmyname tous les jours entre 4h et 16h (paris) . C'est très probablement une attaque par amplification avec uniquement des requêtes ANY qui renvoient un volume bien plus important (au moins SOA + 2 NS + éventuellement MX, A, TXT) que la question. Les IP sources sont très probablement usurpées. tcpdump -v montrait un ttl non constant la dernière fois que j'ai regardé, mais je n'ai pas fait de stats dessus. Contrairement, aux attaques DNS par amplification sur des serveurs récursifs imprudemment ouverts, il n'y a rien à faire sur des serveurs faisant autorité pour les zones utilisées. Plus un serveur gère de zones, plus le volume doit être important et l'attaque ne semble pas focalisée sur quelques domaines. Pour la maso qui utilisent DNSSEC, l'amplification doit être bien plus violente. À noter, que je n'ai pas remarqué d'ipv6 lors de ces attaques. Passer tous les serveurs DNS en ipv6 seulement serait peut-être une solution ... Lolo -- Laurent Frigault --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
