ISPC3: Hohe bind CPU und Traffic Belastung

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von andy1965, 5. Juli 2012.

  1. andy1965

    andy1965 Member

    Hallo Leute!


    Nachdem ich einige neue Sites eingegeben habe, ob das kausal zusammen hängt kann ich nicht mit Sicherheit sagen, wird mein DNS mit Anfragen derart überhäuft das nichts mehr geht.
    Seit 14 Uhr (jetzt 22 Uhr) habe ich ein DNS Traffic von ~ 10 GB und die Leitung einen Ping von 150 - 200 mit gelegentliche Packet loss.
    Wenn ich named beende ist vorbei mit dem Spuk jedoch brauch ich natürlich den NS.
    Das freut die Kunden natürlich nicht.

    Hat jemand Tipps :-/
     
  2. F4RR3LL

    F4RR3LL Member

    Was sprechen die Logs, ein Angriff im Gange auf den DNS?

    Gruß Sven
     
  3. Till

    Till Administrator

    Schau mal in den BIND Dateien nach ob dort DNS recursion erlaubt ist, also ob Dein Server dazu verwendet werden kann Domains die nicht auf Deinem Server liegen aufzulösen. DNS Recursion sollte nur von localhost (127.0.0.1) möglich sein und nicht von externen IP Adressen.

    in der named.conf bzw. der named options Datei sollte im Bereich options {} folgendes stehen:

    allow-recursion {127.0.0.1;};

    bzw:

    allow-recursion {none;};

    um recursion zu beschränken bzw. komplett zu deaktivieren.
     
  4. andy1965

    andy1965 Member

    @F4RR2LL

    Hab ich auch gedacht, ein DDOS, aber die Sender der DNS Anfragen galten zum Teil als sicher.

    @TILL
    Ich habe das geprüft, "recursion" stand auf "yes".
    Habe den Eintrag auf "no" gestellt und der Traffic ist jetzt wieder normal.

    Soll oder muss ich 127.0.0.1 erlauben?


    Danke auf jeden Fall für eure Antworten
     
  5. Till

    Till Administrator

    Würde ich machen, denn dann kann Dein lokaler Bind Server DNS Anfragen zwischenspeichern. Dies kann z.B. die DNS Auflösung beim erstellen der Webseitenstatistiken beschleunigen.
     
  6. Till

    Till Administrator

    Wobei Du es dann eigentlich auch noch etwas weiter absichern müsstest falls Du Deinen Cache auch schützen willst:

    Re: Bind 9 allow-recursion limited to localhost

    Daher ist none vielleicht einfacher, denn für das absichern des caches müsstest Du dann im dns Zonen template ein "allow-query {any;};" in jeder Zone einfügen und wenn Du einen schnellen externen DNS als Resolver in der /etc/resolv.conf stehen hast, dann bringt das caching wahrscheinlich nur minimale Geschwindigkeitsvorteile.
     
  7. andy1965

    andy1965 Member

    Till, das ist genial,

    diese Info sollte in ein HowTo ;-), denke ist für viele Serverbetreiber wichtig

    Super Danke!
     
  8. andy1965

    andy1965 Member

  9. Till

    Till Administrator

Diese Seite empfehlen