hawork
17/02/2009, 21:57
No veo nada raro la verdad. Tengo más info, las veces que no van las páginas tampoco responden al ping. Las webs que funcionan evidentemente sí que responden.
¿alguna explicación de estas "caídas parciales"?
Edito por si a alguien le sirve de ayuda:
Casi convencido de que ya sé la razón. En el log messages, hay un montón de solicitudes de esta ip rusa:
Feb 18 15:59:05 ns25394 named[4162]: client 62.109.4.89#6393: query (cache) './NS/IN' denied
Feb 18 15:59:05 ns25394 named[4162]: client 62.109.4.89#18066: query (cache) './NS/IN' denied
Feb 18 15:59:07 ns25394 named[4162]: client 62.109.4.89#28393: query (cache) './NS/IN' denied
Feb 18 15:59:08 ns25394 named[4162]: client 62.109.4.89#46095: query (cache) './NS/IN' denied
Feb 18 15:59:11 ns25394 named[4162]: client 62.109.4.89#11661: query (cache) './NS/IN' denied
Feb 18 15:59:11 ns25394 named[4162]: client 62.109.4.89#34539: query (cache) './NS/IN' denied
Feb 18 15:59:13 ns25394 named[4162]: client 62.109.4.89#42196: query (cache) './NS/IN' denied
Feb 18 15:59:14 ns25394 named[4162]: client 62.109.4.89#9282: query (cache) './NS/IN' denied
Feb 18 15:59:17 ns25394 named[4162]: client 62.109.4.89#6304: query (cache) './NS/IN' denied
Feb 18 15:59:17 ns25394 named[4162]: client 62.109.4.89#27878: query (cache) './NS/IN' denied
Nota, al bloquear esta IP con iptables ha intentado lo mismo la ip 195.68.176.4. Después de bloquear también esta ha parado el ataque de momento.
Si no me equivoco named es el user que se encarga del servidor DNS... ¿es esto correcto? Si es así supongo que fail2ban no habrá detectado nada porque este ataque no es ni por FTP ni por SSH.
Los efectos, dejar el servidor DNS medio tonto.
¿alguna explicación de estas "caídas parciales"?
Edito por si a alguien le sirve de ayuda:
Casi convencido de que ya sé la razón. En el log messages, hay un montón de solicitudes de esta ip rusa:
Feb 18 15:59:05 ns25394 named[4162]: client 62.109.4.89#6393: query (cache) './NS/IN' denied
Feb 18 15:59:05 ns25394 named[4162]: client 62.109.4.89#18066: query (cache) './NS/IN' denied
Feb 18 15:59:07 ns25394 named[4162]: client 62.109.4.89#28393: query (cache) './NS/IN' denied
Feb 18 15:59:08 ns25394 named[4162]: client 62.109.4.89#46095: query (cache) './NS/IN' denied
Feb 18 15:59:11 ns25394 named[4162]: client 62.109.4.89#11661: query (cache) './NS/IN' denied
Feb 18 15:59:11 ns25394 named[4162]: client 62.109.4.89#34539: query (cache) './NS/IN' denied
Feb 18 15:59:13 ns25394 named[4162]: client 62.109.4.89#42196: query (cache) './NS/IN' denied
Feb 18 15:59:14 ns25394 named[4162]: client 62.109.4.89#9282: query (cache) './NS/IN' denied
Feb 18 15:59:17 ns25394 named[4162]: client 62.109.4.89#6304: query (cache) './NS/IN' denied
Feb 18 15:59:17 ns25394 named[4162]: client 62.109.4.89#27878: query (cache) './NS/IN' denied
Nota, al bloquear esta IP con iptables ha intentado lo mismo la ip 195.68.176.4. Después de bloquear también esta ha parado el ataque de momento.
Si no me equivoco named es el user que se encarga del servidor DNS... ¿es esto correcto? Si es así supongo que fail2ban no habrá detectado nada porque este ataque no es ni por FTP ni por SSH.
Los efectos, dejar el servidor DNS medio tonto.