MR_Andrew
16-07-2014, 00:30
Доброго времени суток!
Есть очень необычная проблема. Есть абонент в сети, есть у него роутер D-Link DIR-640L. И этот чудо-роутер мало того, что флудит, так еще и себя DNS-сервером возомнил.
Допустим, флудить может ПК, который стоит за роутером. Отключали все устройства, оставили 1 ПК через роутер. Флудит. Включаем кабель напрямую в ПК без роутера - флуда нет, на ДНС не отвечает.
Но если даже и флудит какой-то ПК (как-то более вероятно даже), то на ДНС-запросы он ну никак отвечать не может, так как он за НАТом роутера! А порты там никто не прокидывал, то есть запросы просто не попадут на любой из ПК локальной сети. Значит отвечает таки роутер...
Вопрос: как такое может быть? Удаленно перерыл кучу настроек - все стандартно, как у Д-Линка. Пытался гуглить, есть пару идей, но проверить могу только завтра...
Вот примеры. ИП-адреса в целях безопасности затираю. Пускай ИП абонента будет 10.10.10.10 (host-10-10-10-10.myisp.ua), а сервер с ДНС, с которого сканирую трафик и вижу гадость - 20.20.20.20 (isp-dns.myisp.ua)
Вот пример запроса:
~>dig i.ua @10.10.10.10
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> i.ua @10.10.10.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21315
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;i.ua. IN A
;; ANSWER SECTION:
i.ua. 4365 IN A 91.198.36.14
;; Query time: 1 msec
;; SERVER: 10.10.10.10#53(10.10.10.10)
;; WHEN: Tue Jul 15 22:53:54 2014
;; MSG SIZE rcvd: 38
]~>dig ukr.net @10.10.10.10
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> ukr.net @10.10.10.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44285
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ukr.net. IN A
;; ANSWER SECTION:
ukr.net. 164 IN A 212.42.76.252
ukr.net. 164 IN A 212.42.76.253
;; Query time: 2 msec
;; SERVER: 10.10.10.10#53(10.10.10.10)
;; WHEN: Tue Jul 15 23:20:18 2014
;; MSG SIZE rcvd: 57
C:\Users\Andrew>nslookup ex.ua 10.10.10.10
╤хЁтхЁ: host-10-10-10-10.myisp.ua
Address: 10.10.10.10
Не заслуживающий доверия ответ:
╚ь*: ex.ua
Address: 77.120.115.184Повторюсь, включенный напрямую ПК без роутера на запросы не отвечает.
А вот флуд:
~>sudo tcpdump host 10.10.10.10 -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
23:10:33.495913 IP host-10-10-10-10.myisp.ua.62034 > isp-dns.myisp.ua.domain: 52594+ A? ycxksqcmngk.www.09445.com. (43)
23:10:34.318578 IP host-10-10-10-10.myisp.ua.33198 > isp-dns.myisp.ua.domain: 31854+ A? geiwjindxcr.www.09445.com. (43)
23:10:35.605895 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.29365: 40862 ServFail 0/0/0 (43)
23:10:35.971253 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.56273: 29870 ServFail 0/0/0 (43)
23:10:37.266369 IP host-10-10-10-10.myisp.ua.10180 > isp-dns.myisp.ua.domain: 11923+ A? cpgof.wushuang.taojiba.com. (44)
23:10:37.266430 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.10180: 11923 NXDomain* 0/1/0 (114)
23:10:37.502156 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.53209: 49399 ServFail 0/0/0 (43)
23:10:38.503402 IP host-10-10-10-10.myisp.ua.55263 > isp-dns.myisp.ua.domain: 34058+ A? mbjcywxrowl.www.525uc.com. (43)
23:10:38.503469 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.55263: 34058 NXDomain* 0/1/0 (113)
23:10:40.090468 IP host-10-10-10-10.myisp.ua.53965 > isp-dns.myisp.ua.domain: 2505+ A? ovwdyiaxydh.www.09445.com. (43)
23:10:43.496225 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.62034: 52594 ServFail 0/0/0 (43)
23:10:44.318836 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.33198: 31854 ServFail 0/0/0 (43)
^C
12 packets captured
375 packets received by filter
316 packets dropped by kernelСервер, само собой, ругается на несуществующие адреса (ServFail и NXDomain), кроме этого его это еще и конкретно подгружает (так как сейчас какое-то нашествие, флудит кучу абон железа).
Может кто сталкивался - подскажите, пожалуйста, что делать. Сказать абону "выкинь роутер" - не вариант...
Спасибо!
Есть очень необычная проблема. Есть абонент в сети, есть у него роутер D-Link DIR-640L. И этот чудо-роутер мало того, что флудит, так еще и себя DNS-сервером возомнил.
Допустим, флудить может ПК, который стоит за роутером. Отключали все устройства, оставили 1 ПК через роутер. Флудит. Включаем кабель напрямую в ПК без роутера - флуда нет, на ДНС не отвечает.
Но если даже и флудит какой-то ПК (как-то более вероятно даже), то на ДНС-запросы он ну никак отвечать не может, так как он за НАТом роутера! А порты там никто не прокидывал, то есть запросы просто не попадут на любой из ПК локальной сети. Значит отвечает таки роутер...
Вопрос: как такое может быть? Удаленно перерыл кучу настроек - все стандартно, как у Д-Линка. Пытался гуглить, есть пару идей, но проверить могу только завтра...
Вот примеры. ИП-адреса в целях безопасности затираю. Пускай ИП абонента будет 10.10.10.10 (host-10-10-10-10.myisp.ua), а сервер с ДНС, с которого сканирую трафик и вижу гадость - 20.20.20.20 (isp-dns.myisp.ua)
Вот пример запроса:
~>dig i.ua @10.10.10.10
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> i.ua @10.10.10.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21315
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;i.ua. IN A
;; ANSWER SECTION:
i.ua. 4365 IN A 91.198.36.14
;; Query time: 1 msec
;; SERVER: 10.10.10.10#53(10.10.10.10)
;; WHEN: Tue Jul 15 22:53:54 2014
;; MSG SIZE rcvd: 38
]~>dig ukr.net @10.10.10.10
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> ukr.net @10.10.10.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44285
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ukr.net. IN A
;; ANSWER SECTION:
ukr.net. 164 IN A 212.42.76.252
ukr.net. 164 IN A 212.42.76.253
;; Query time: 2 msec
;; SERVER: 10.10.10.10#53(10.10.10.10)
;; WHEN: Tue Jul 15 23:20:18 2014
;; MSG SIZE rcvd: 57
C:\Users\Andrew>nslookup ex.ua 10.10.10.10
╤хЁтхЁ: host-10-10-10-10.myisp.ua
Address: 10.10.10.10
Не заслуживающий доверия ответ:
╚ь*: ex.ua
Address: 77.120.115.184Повторюсь, включенный напрямую ПК без роутера на запросы не отвечает.
А вот флуд:
~>sudo tcpdump host 10.10.10.10 -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
23:10:33.495913 IP host-10-10-10-10.myisp.ua.62034 > isp-dns.myisp.ua.domain: 52594+ A? ycxksqcmngk.www.09445.com. (43)
23:10:34.318578 IP host-10-10-10-10.myisp.ua.33198 > isp-dns.myisp.ua.domain: 31854+ A? geiwjindxcr.www.09445.com. (43)
23:10:35.605895 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.29365: 40862 ServFail 0/0/0 (43)
23:10:35.971253 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.56273: 29870 ServFail 0/0/0 (43)
23:10:37.266369 IP host-10-10-10-10.myisp.ua.10180 > isp-dns.myisp.ua.domain: 11923+ A? cpgof.wushuang.taojiba.com. (44)
23:10:37.266430 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.10180: 11923 NXDomain* 0/1/0 (114)
23:10:37.502156 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.53209: 49399 ServFail 0/0/0 (43)
23:10:38.503402 IP host-10-10-10-10.myisp.ua.55263 > isp-dns.myisp.ua.domain: 34058+ A? mbjcywxrowl.www.525uc.com. (43)
23:10:38.503469 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.55263: 34058 NXDomain* 0/1/0 (113)
23:10:40.090468 IP host-10-10-10-10.myisp.ua.53965 > isp-dns.myisp.ua.domain: 2505+ A? ovwdyiaxydh.www.09445.com. (43)
23:10:43.496225 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.62034: 52594 ServFail 0/0/0 (43)
23:10:44.318836 IP isp-dns.myisp.ua.domain > host-10-10-10-10.myisp.ua.33198: 31854 ServFail 0/0/0 (43)
^C
12 packets captured
375 packets received by filter
316 packets dropped by kernelСервер, само собой, ругается на несуществующие адреса (ServFail и NXDomain), кроме этого его это еще и конкретно подгружает (так как сейчас какое-то нашествие, флудит кучу абон железа).
Может кто сталкивался - подскажите, пожалуйста, что делать. Сказать абону "выкинь роутер" - не вариант...
Спасибо!