Упал DSL-линк, убил весь день, чтобы всё-таки докопаться до истины, а именно - до того, что у Укртелекомовских DNS-Серверов возможно, установлена защита от DDoS'а или нечто подобное
В общем - эта статья - возможно, важная информация для пользователей с ADSL ("ОГО" и т.д.) подключением к интернету от Укртелекома, которым могут пользоваться виндовые клиенты.
У меня модем DLink DSL-2500BRU/D, хороший модем, работает без проблем (правда, греется как сволочь...). Иногда его крепко подглючивало - DNS-запросы переставали перенаправляться на сервера имён Укртелекома, но соединения через IP работали без проблем.
типа вот так:
user@host ~ % ping rambler.ru
ping: unknown host rambler.ru
зато:
user@host ~ % ping 81.19.70.3
PING 81.19.70.3 (81.19.70.3) 56(84) bytes of data.
64 bytes from 81.19.70.3: icmp_seq=1 ttl=52 time=118 ms
64 bytes from 81.19.70.3: icmp_seq=2 ttl=52 time=118 ms
64 bytes from 81.19.70.3: icmp_seq=3 ttl=52 time=115 ms
^C
--- 81.19.70.3 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 115.089/117.314/118.583/1.578 ms
Через время пропадал даже такой способ связаться с инетом, скорей всего модем из за отсутствия соединений впадал в сон, хотя это и маловероятно.
Лечило положение выключение/включение модема (чтобы он себе новый IP присвоил)
Короче, за последние три дня эта ситуация настолько обострилась, что модем стал нормально работать минут 10, а потом вис DNS и приходилось идти, перезагружать его вручную (так и не понял, какого хрена вместе с форвардингом DNS зависал и веб-фейс модема)...
В итоге меня это круто задолбало, и я решил докопаться до сути проблемы. В укртелекоме мне ничего нового не сказал их замучанный (не мной) вусмерть инженер. говорит типа - дело в модеме и баста.
Ну, я модем перепрошил самой свежей версией прошивки (хотя бывшая версия была залита туда всего месяц назад), сбросил настройки, залил дефолтный прошивочный конфиг, и нифига - не пашет DNS, отваливается через 3-5 минут.
Стал грешить на локальный сервер имён (djbdns), излазил его вдоль и поперёк, и - нашёл вредителя!
Исследуя логи tinydns, заценил следуюшие записи:
/etc/tinydns/log/main/current
...
@40000000487e038b2b840d84 0a0301f0:0548:1740 - 0001 asbmx.sbell.com.cn
@40000000487e038b31105b2c 0a0301f0:0548:1745 - 0001 sbbmail4.sbb.ch
@40000000487e038b311066e4 0a0301f0:0548:1744 - 0001 sbbmail2.sbb.ch
@40000000487e038b31129194 0a0301f0:0548:1743 - 0001 sbbmail3.sbb.ch
@40000000487e038b31141834 0a0301f0:0548:1742 - 0001 sbbmail1.sbb.ch
@40000000487e038d0bbe89d4 0a0301f0:0548:1746 - 0001 smtp.mediacat.ne.jp
@40000000487e038d18d7f664 0a0301f0:0548:1747 - 0001 sbt.co.in
@40000000487e038d38024b84 0a0301f0:0548:1749 - 0001 mail.sbstone.com
@40000000487e038d3802573c 0a0301f0:0548:1748 - 0001 cle1.visn.net
@40000000487e038f2a9bff44 0a0301f0:0548:1766 - 000f sb-hausmeisterservice.de
@40000000487e038f2a9c0afc 0a0301f0:0548:1765 - 000f sbhauditors.com
@40000000487e038f2a9c0ee4 0a0301f0:0548:1764 - 000f sbhatt.fsnet.co.uk
@40000000487e038f2a9c12cc 0a0301f0:0548:1763 - 000f sbhatnagar.com
@40000000487e038f2a9d66a4 0a0301f0:0548:1762 - 000f sbhassociates.com
@40000000487e038f2a9e7fe4 0a0301f0:0548:1761 - 000f sbhart.com
@40000000487e038f2a9fb864 0a0301f0:0548:1760 - 000f sbha.org.uk
@40000000487e038f2aa11024 0a0301f0:0548:175f - 000f sbhaonline.com
@40000000487e038f2aa2545c 0a0301f0:0548:175e - 000f sbhamm.de
...
как видно из этой картины (запросы имён идут по алфавиту и с минимальной задержкой), некий комп перебирает dns-имена, и это скорее всего, делается для рассылки спама, или взлома ssh или для другой работы, которой занимаются компы в ботнете.
Тут-же проверил ситуацию tcpdump-ом, и засёк источник спама - один из ноутов менеджеров. Судя по всему, на нём жил целый выводок вирусов.
пришёл, заценил, как народ браво щеголяет эксплорером (ноут личный), пожурил, забрал ноут на лечение. Нашёл на нём видов 6 всякой гадости, в которой точно были пара-тройка спам-ботов.
Заметьте - как только я отключил зловредный ноут от сети и перегрузил роутер, инет стал работать как по маслу 8)
Итог "исследования"
Скорее всего, на Укртелекомовских DNS-серверах стоит защита от DDoS атак, dns-флуда либо чего-то подобного. Она срабатывает, когда идёт частый перебор доменных имён с большим процентом запроса несуществующих. Если DNS стал падать, проверьте траффик, проходящий через ваш ADSL роутер на наличие DNS-флуда, виндовые компы, выходящие с него в инет - на наличие спамботов и прочих вирусов.
Бан работает довольно эффективно и просто - на любые запросы с "флудящих" IP-адресов перестают отвечать ихние DNS-сервера. Извне это выглядит так, как будто их серверы "легли" от нагрузки - пинги к ним не проходят, прямые запросы (через то-же dnsq) перестают восприниматься.
Лечился бан перезагрузкой роутера, чтобы тот взял новый динамический IP, не занесённый в бан-лист. Работало это в зависимости от интенсивности флуда.
PS: подобное поведение я ранее замечал, были подозрения, подтверждавшиеся опытами и просмотров DNS-запросов. Всё устаканивалось, как только большая часть народа с ноутами сруливало по командировкам.
PPS:
А в этот раз ещё прибавилась и жара, от которой даже у довольно неприхотливых свичей чердак съезжал, и их приходилось перегружать. А ведь модем грелся и без жары прилично. В итоге пришлось слепить из валявшегося в загашнике кулера, переключателя, пары гнёзд, шурупа и куска металлической заглушки от корпуса компа сваять импровизированную охлаждающую установку :) . Фотки этого девайса, исполненного в "технобомж" стиле выложу чуть позже :)
Читать далее