Статья размещена автором Бетке Сергей Сергеевич

DNS cache poison, проявления

Опишу инцидент, проявивший себя 28.06.2010. Суть инцидента:

Сначала отказал bl.spamcop.net (точнее, такое было впечатление). Он стал давать положительный ответ на все запросы, из-за чего у нас возникли проблемы с доставкой адресатам с SAV, а также с получением почты.
Тестирую на себе:
    nslookup -type=any 198.164.148.213.bl.spamcop.net
    198.164.148.213.bl.spamcop.net  internet address = 66.96.224.89
Причём ответ постоянный и один и тот же для любого Ip. Следом за ним “падают” ровно с таким же ответом следующие сервисы:
Dul.ru
bl.score.senderscore.com
dnsbl.sorbs.net
zen.spamhaus.org

Через некоторое время ожил spamcop.

На самом деле — всё гораздо интереснее, чем проблема с чёрными списками. Тот эффект, который мы наблюдали — dns cache poison, или dns cache polution. Некая зомби сеть (явно не одна машина, судя по журналам – ложные “ответы” приходили далеко не с одного ip) рассылала якобы ответы на dns запросы в интернете, указывая один и тот же ip на любые вопросы — 66.96.224.89. В результате наш dns кешировал эти ответы. На указанном адресе функционировал dns сервер, который отвечал этим же Ip на любой вопрос. В результате такого "битого" кеша dns бессистемно переставали работать сайты, почта не доходила (smtp сервер на указанном хосту работал, но требовал авторизации).

В результате, проявления были крайне бессистемные и на разных сервисах. Поэтому и диагностирована причина была только на вторые сутки. Судя по всему, целью акции была попытка сбора учётных записей и адресов (учитывая тот факт, что многие исходящие SMTP сессии были перенаправлены на указанный ip, а сервер там требовал авторизации).

Рецепт в подобной ситуации:

  • Для всех Ваших dns серверов — сброс кеша.
  • По возможности везде — Ipconfig /flushdns, перезапуск таких сервисов, как webproxy, smtp.
  • И обязательно: включить "безопасный" кеш на Ваших DNS серверах. Эта опция несколько нагружает Ваши dns сервера, но при этом позволяет им проверить, а отправляли ли они запрос, на который получили якобы ответ (в случае UDP запросов, TCP запросам такая ситуация не грозит).
Опубликовать комментарий

XHTML: Вы можете использовать следующие HTML теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Tags Связь с комментариями статьи:
RSS комментарии
Обратная ссылка