iptraf

Pedro GM saxeusgm en gmail.com
Jue Feb 7 20:35:30 CLST 2008


Miguel Oyarzo O. escribió:
> At 16:06 07/02/2008, Alberto Rivera wrote:
>> Satara Plaza wrote:
>...
> Esto mas bien se ve como un ataque tipico DoS contra la puerta 53
> Como supongo que tu intencion es seguir usando tu DNS para entregar
> los datos de tu zona este tipo de ataque resulta complicado de bloquear.
> 

> Otra causa (posible) es que terceros esten realizando
> un SPAM masivo con remitente (tu dominio).
> Si es fue lo que paso entonces existiran decenas de miles de maquinas
> consultando a tu DNS por el MX del remitente.
> Las consultas repetidas desde una misma maquina se explican
> por el ancho de banda insufiennte no mas (deben repetirse una y otra vez)
> 
Podrias estar en riesgo de DoS , lo unico que se me ocurre 
inmediatamente(aun me falta mas experiencia en estos caso) aparte de 
algunas cosas que ya han mencionado:

En tu equipo(servidor debian) podrias agregar/modificar una regla con 
IPTABLES para limitar las consultas externas hacia tu equipo con el 
modulo limit (iptables -A ..(resto de la cadena).. -m limit --limit 
2/second -j ACCEPT) y bajaria un trafico.

Esto mientras encuentras algo mas acabado.

Y tal vez como te dijieron una ACL podria servir.

Suerte!

-- 
.:: Pedro:G:M ::.
Linux User #397462 http://counter.li.org


Más información sobre la lista de distribución Linux