Ich grüße nun nicht noch mal ;-)
Nein, nicht dieselbe. Mal A mal MX mal SPF, verteilt über den Tag
manches ein zweites Mal obwohl, die TTL mehr hergäbe. Bis zu 4x hätte ich schreiben sollen, 1 und 2 ist häufiger anzutreffen, über 4 nix und dann wieder ab 256 und dann immer A und alles in äußerst kurzer Zeit.
Wie groß ist bei den 1..2 mal die Zeitspanne zwischen Anfragen?
0 bis zwei Sekunden, der "normale" Client mit mehr als einer Anfrage fragt im Querschnitt immer A, MX und SPF ab. Wenn er eins nochmal fragt, dann quasi immer in einer ganz anderen Minute. Ich denke diese Anfragen sind alle ok.
Ja. 200+ in 10 Sekunden ist etwas häufig. Vielleicht cacht er nicht. Und vielleicht macht er etwas Böses, wofür er die A-Auflösung benötigt. Du bist also nur kollaterales Opfer.
Klar, ich hab ja nur den NS. Und so richtig tut dem Server das nicht weh (noch nicht).
Allerdings. In welche Regionen gehören die Quell-IPs? Gibt es da Beziehungen zu der Domain?
Hier eine Auswahl von IP und Anzahl der Queries:
112.90.21.68 : 275 112.91.169.174 : 303 112.91.173.65 : 239 113.105.157.160 : 307 113.107.174.68 : 291 113.107.95.21 : 215 115.239.226.215 : 283 115.239.229.222 : 299 117.25.149.233 : 222 117.41.243.247 : 250 119.147.138.174 : 283 119.147.139.191 : 303 119.147.154.144 : 270 121.10.107.104 : 220 121.10.112.225 : 1449 121.10.127.146 : 297 121.10.172.60 : 300 121.1.121.200 : 215 121.12.104.150 : 281 121.12.109.129 : 675 121.12.109.234 : 836 121.12.110.71 : 3104 121.12.122.76 : 573 121.12.123.230 : 260 121.14.151.52 : 289 121.14.151.75 : 264 121.14.153.77 : 248 121.9.226.7 : 305 ... 221.4.162.237 : 289 221.4.162.246 : 610 221.4.162.251 : 283 59.34.197.135 : 886 59.34.197.137 : 277 59.34.197.151 : 1075 59.39.69.216 : 304 59.39.69.223 : 306 59.53.68.22 : 266 60.190.216.137 : 760
Stichproben (dig -x, traceroute) führen alle nach China. Konkurrenzmarkt für den Inhaber der betreffenden Domain, stärker als in anderen Teilen der Welt.
hashlimit in den Iptables könnte Dein Freund werden.
Das schaue ich mir mal an.
Wenn sich die IPs ändern, ist das aber auch etwas sportlich…
Meinst Du, das geht doch für mich als Regelschreiber ganz ohne die Quell-IP:
$FW -A INPUT -i $OUT_IF -s 0.0.0.0/0 -d $OUT_IP -p tcp -m state --state NEW --sport 1024:65535 --dport 53 -m hashlimit --hashlimit 3/second --hashlimit-mode srcip,dstport --hashlimit-name dns -j ACCEPT $FW -A INPUT -i $OUT_IF -s 0.0.0.0/0 -d $OUT_IP -p udp -m state --state NEW --sport 1024:65535 --dport 53 -m hashlimit --hashlimit 3/second --hashlimit-mode srcip,dstport --hashlimit-name dns -j ACCEPT
Und es funktioniert sogar, wie ich in /proc/net/ip_hashlimit/dns und mit einem Testclient herausfand ;-)
Mit freundlichen Grüßen / Kind regards Ronny Seffner