Trafego elevado de soliciatção de DNS sem nehum usuario na rede.

1. Trafego elevado de soliciatção de DNS sem nehum usuario na rede.

jeorgino gomes do carmo
juniofsa

(usa Debian)

Enviado em 16/12/2009 - 09:16h

Prezados;
Bom dia
Sou usuario do linux tenho um servidor ubutun server rodando o IPTABLE e O SQUID estou com a seguinte situação .

Utilizando tcpdunp e na minha inteface de saida para internet verifique que durante operiodo em que não tem nehum usuario acessa a internet,o servidor esta mandando milhares de concultas de DNS para site japones ou seja sites estranhos utilizando portas do tipo 6000 entre outras inclusive a porta do squid 3128.
Gostaria de saber tem como bloquear esse trafego no iptable. Ou o que podee esta acontecendo para que ele gere esse trafego .

desde ja agradeço ao colegas




  


2. Re: Trafego elevado de soliciatção de DNS sem nehum usuario na rede.

Carlos A. Parisotto
carlosparisotto

(usa Red Hat)

Enviado em 22/12/2009 - 09:05h

Cara, que estranho ele tentar fazer essas consultas DNS por outras portas, eu
normalmente deixo minha politica padrao como DROP, e permito consulta DNS
apenas a alguns DNSs na porta 53, para nao haver esses problemas. Ex:

/sbin/iptables -A FORWARD -p udp --dport 53 -s $LAN -d 4.2.2.2 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -d 200.176.2.10 -j ACCEPT


Espero que eu tenha lhe ajudado.


3. Re: Trafego elevado de soliciatção de DNS sem nehum usuario na rede.

Pedro Pereira
pogo

(usa Fedora)

Enviado em 22/12/2009 - 09:18h

Você verificou se o seu servidor não foi comprometido? Não tem nenhum processo estranho sendo executado nele? Tente verificar usando o top...

[]'s
Pedro Pereira
http://twitter.com/pogao






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts