Sinds een paar weken is het weer heftig met aanvallen op mijn BIND server.
Uit het syslog:
Jan 20 17:03:01 localhost named[23614]: client 66.230.128.15#63621: view external: query (cache) './NS/IN' denied
Jan 20 17:03:02 localhost named[23614]: client 66.230.160.1#64291: view external: query (cache) './NS/IN' denied
Jan 20 17:03:02 localhost named[23614]: client 66.230.160.1#21489: view external: query (cache) './NS/IN' denied
Jan 20 17:03:03 localhost named[23614]: client 66.230.128.15#25661: view external: query (cache) './NS/IN' denied
Jan 20 17:03:05 localhost named[23614]: client 66.230.128.15#63621: view external: query (cache) './NS/IN' denied
Jan 20 17:03:06 localhost named[23614]: client 66.230.160.1#52594: view external: query (cache) './NS/IN' denied
Jan 20 17:03:07 localhost named[23614]: client 66.230.160.1#12735: view external: query (cache) './NS/IN' denied
Jan 20 17:03:07 localhost named[23614]: client 66.230.128.15#53223: view external: query (cache) './NS/IN' denied
en dit gaat nog wel een tijdje door.
Nu heb ik een "handmatige" oplossing
In bind9 heb je de optie blackhole (zie hieronder), door handmatig het IP adres (ik neem gelijk de hele range) in te voeren en dan /etc/init.d/bind9 reload te geven is de attack gelijk over.
Ik heb geprobeerd te patchen, maar wordt gehinderd door de router, waardoor ik te weinig variatie in de poorten heb.
dnssec-enable yes;
blackhole {
209.249.141.0/24;
204.11.51.0/24;
208.37.177.0/24;
168.75.65.0/24;
143.215.129.25;
64.74.15.250;
205.166.76.0/24;
192.195.204.0/24;
38.96.134.230;
216.201.83.0/24;
216.201.82.0/24;
69.50.137.0/24;
91.199.112.0/24;
74.86.34.0/24;
63.217.28.0/24;
216.240.131.0/24;
69.50.142.0/24;
76.9.16.0/24;
76.9.31.0/24;
66.230.160.0/24;
66.230.128.0/24;
};
Mijn vraag:
Kan ik een perl script maken die mijn query-log "leest" en zodra eenzelfde IP vijf keer binnen een minuut langskomt deze automatisch toevoegd aan de blackhole lijst en vervolgens bind reload?
Het zou mijn leven aangenamer maken
Zijn er andere alternatieven?
Thanx.
Johnno.