Софт и интернет => Тема начата: banan от 03 Май 2006, 15:26 Софт и интернет => Тема начата: banan от 03 Май 2006, 15:26|
Название: DNS на 10.4.1.6 Отправлено: banan от 03 Май 2006, 15:26 Внимание! Сервер работает в защищенном режиме.
Инфицированные вирусами компьютеры пользователей генерируют огромный объем запросов к локальным DNS серверам, лимитированый только пропускной способностью сети. Как следствие сервер "валится". Собственно именно это и происходило с начала работы муравейника. Так как вторичный DNS 10.4.1.6 работает на этой же машине с форумом, то его падения вызывали сбои в работе машины. Я проследил откуда "растут ноги", и нарисовал маленькую схемку защиты. Каждые 20 минут собирается статистика по запросам, и если количество запросов с хоста превысило лимит, хост отправляетя в черный лист. Частота запросов от такого хоста принудительно уменьшается, скорость их убирается до минимума, и, чем больше запросов, тем больше они дропаются. Т.о. если хост инфицирован, активность вируса или трояна резко замедляется во благо всем: 1. хозяин хоста вынужден искать причины заторможеной работы в сети 2. по отношению к остальным пользователям снижается вероятность быть атакованым 3. Из нашей сети уходит меньше спама 4. DNS в сети работает. 4 пункт важнее всего, ибо первым затыкается первичный днс - 10.4.4.1, и все запросы прут на 10.4.1.6 Амнистия хостов попавших в блэклист - в 4 часа утра. текущий блэклист доступен по адресу http://metropolis.anthill.ru:8000/dns/todays_blacklist.txt (http://metropolis.anthill.ru:8000/dns/todays_blacklist.txt) Особо упертым ставится ставится полная блокировка к DNS серверу. текущий блоклист доступен по адресу http://metropolis.anthill.ru:8000/dns/banned_hosts.txt (http://metropolis.anthill.ru:8000/dns/banned_hosts.txt) Спасибо за внимание. |