Il n'y a rien de veritablement suspect outre la récurrence. Et on parle de requete DNS, donc de quelques centaines de kb/s. C'est d'ailleurs ce qui est etonnant si c'est une attaque. Pour que cela puisse avoir un impact sur le service, il faudrait sans doute multiplier par 50 ou 100 le nombre de requetes, et encore. La c'est juste suffisant pour que cela soit visible au niveau des statistiques
Je veux bien tout passer en ipv6 mais vu que l'on a que 3% de requetes dns en IPV6, ca risque de pas trop passer :) Christophe -----Message d'origine----- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Benjamin BILLON Envoyé : vendredi 16 mars 2012 01:06 À : 'frnog-t...@frnog.org' Objet : Re: [FRnOG] [TECH] Requetes DNS depuis la chine As-tu moyen d'appliquer du traffic shaping d'une quelconque sorte ? Y'a-t-il des requêtes suspectes, ou un pattern reconnaissable ? Le 16/03/2012 01:05, Christophe HUBERT a écrit : > Salut, > > Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand nombre > de requetes depuis la chine. Autant avoir des requetes depuis la chine est > normal, autant le nombre et le type de requetes est assez etrange. > > Depuis decembre donc notre trafic DNS a fortement augmente sur la plage > 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs a partir > d'une IP pendant quelques minutes, puis un autre rush a partir d'une autre > ip. Pour prendre un exemple, l'ip 121.12.172.233 a effectue aujourd'hui pres > de 70000 requetes en 10 minutes sur uniquement une vingtaine de domaines > (soit entre 1500 et 3000 fois la meme requete par domaine). D'ailleurs, les > ips chinoises trustent le top 50 sur nos DNSs depuis le mois de decembre. > A priori je ne suis pas le seul > (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). > Comme l'ip change tout le temps et que je ne peux pas bloquer la chine (meme > si l'envie me demange), je me retrouve a devoir laisser le trafic se faire. > Ca n'impacte de toute facon pas le service plus que ca. > > Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous avez > pris des mesures ou vous laissez faire aussi ? > > Christophe > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
