-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Перебор паролей
- Автор темы WoLFiks
- Дата начала
ну мало ли . обычно на серверах стоят всякие сервисы в довесок. и база данных, и намед
не надо базе в мир смотреть, если совмещать php и mysql - последнему достаточно loopback/socket,
а зачем dns резолвить на фронте - не представляю, каждый нормальный регистратор дает dns-сервера с удобным интерфейсом управления
можно, конечно, еще почтовые ящики на вебсервере создать, как 15 лет назад, jabber, контру
а зачем dns резолвить на фронте - не представляю, каждый нормальный регистратор дает dns-сервера с удобным интерфейсом управления
можно, конечно, еще почтовые ящики на вебсервере создать, как 15 лет назад, jabber, контру
неееееее.. там уязвимость именно в клиенских намедах, рекурсию не отключают, злоумышленнику надо положить некий сайтец, он начинает ложить dns сервера через рекурсивный запрос на любой другой сервак, обычно червями на инфецированных зомби машинах кладут.
смысл сводится к тому, что по UDP идет запрос на открытый DNS (у которого не отключены рекурсивные запросы), ему дают один пакет на UDP с запросом типа ANY на хост жертвы, тот DNS в свою очередь идет на DNS жертвы и получает ответ в 10 раз большего размера, таким образом кладут канал. Т.е., канал ботнета в целом увеличивает свою эффективность за счет откртых DNS-сов в 10-20 раз минимум. При этом невольные участники дидоса тоже испытывают проблемы с каналами. Известный же прикол, используемый для увеличения плотности аттаки через честные сервисы.
MiksIr
miksir@home:~$
Пробовать можно и нужно, но он не очень помогает при ddos. Я так понял, его сильно распределенно брутфорсят.а чего никто не начинает с limit_conn?
для форума, у которого _канал_, не cpu, забивается от брутфорса в форму логина, значит, сервер стоит под столом, в самый раз
MiksIr
miksir@home:~$
У бинда совмещены ресолвер и размещение зон. Т.е. ставят, что бы просто ресолвить имена внутри, и не ограничивают - кто может слать запросы на ресолв. В итоге он торчит наружу
я не понимаю нахрена он нужен - для локального резолва нужен MiksIr
miksir@home:~$
Дык и bind настроить можно, что бы проблем не было. Те, кто его "голым" оставляют - им про то неведомо.
А если и ведомо - они и dnsmasq настроят криво. Вот и так бывает https://dev.openwrt.org/ticket/14951
А если и ведомо - они и dnsmasq настроят криво. Вот и так бывает https://dev.openwrt.org/ticket/14951
AnrDaemon
Продвинутый новичок
dnsmasq - это DNS+DHCP сервер.
Зачем мне DHCP сервер, когда я могу поставить только DNS?…
WoLFiks
Не курю...
Да, действительно, как и писал выше, так и сделал. fail2ban + лог неудачных попыток. fail2ban вообще прекрасная вещь! Раньше не сталкивался даже с ней. Разобрался минут за 30, за час уже полностью запустил в работоспособном варианте. Трафик упал моментально.
Самое прекрасное в fail2ban что ему не важен формат лога. Можно собственный лог сделать, в fail2ban сделать свои регулярки, свои действия для его разбора и все!
Да маленький канальчик 2М ((
Сервис узкоспециализированный. Вроде больше не требовалось пока.
Такое уже прошел года два назад. Рекурсия была не отключена, завалили трафиком по 53 порту. Отрубил тогда рекурсию и все ОК!
Да, в том то и дело, что в IP никакой логики не было. Короче залили куда-то в курл список прокси всевозможных и через них слали.
Сначала слали пароли по словарям, потом вообще тупой перебор пошел...
WoLFiks
Не курю...
Да.. Неплохая идея ) Но нахрапом и быстро не сделаешь.. А так да, вполне работоспособная !