Imam distribuciju Red Hat Enterprise Linux Server release 5.3 .
Sa netstat -an vidim jako puno konekcija s dvije IP adrese koje su spojene na bind (dns).
Te dvije IP adrese sam ubacila u iptables i sve radim DROP za njih, restartala sam named međutim konekcije se ponovno zakače.
Najgore PID je isti za sve ESTABLISHED konekcije i to je PID od named-a. Kako okončati uspostavljene konekcije, jer toliko su se nakačili na dns da sam imala broj klijenata koji je dosezao maksimum, znači dns je bio zagušen.
Kako uz uspostavljenu konekciju odrediti koji je proces uz to i killat ga?
UDP ne uspostavlja konekciju, thats the beauty of it :) Daj da vidimo kako si iptables podesila, verovatno je tu greska. Trebalo bi ovako nekako:
iptables -A INPUT -s ip -p udp --destination-port port -j DROP
Medjutim, DNS koristi i TCP u retkim slucajevima, predlazem ti da blokiras i tcp.
iptables -A INPUT -s ip -j DROP
iptables -A INPUT -s ip -j DROP
a ne
iptables -A INPUT -s x.x.x.x -p tcp --dport 53 -j DROP
iptables -A INPUT -s x.x.x.x -p udp --dport 53 -j DROP
I problem je ostao isti, oborila named, u trenutku su se izgubile Established veza da bi se opet nakačile te ip adrese i opet je bilo puno Established veza.
Kao da iptables ne pomaže ili je trebalo ipak precizno navesti po destination port 53 i tcp i udp.
Jednostavno se sve smirilo nakon sat kad su se prestali kačit i nestalo je tih Established veza.
Ovaj post nema veze s prethodnim, rješila sam prije slučaj tako što sam rekla dns da se samo diže i podržava ipv4. S tim je problem napada s ipv6 adrese rješen.
Medjutim, ovo je drugi "napad", jednostavno ne znam kako eliminirati ove Established konekcije.
Možda da se ipak stavi preciznije možda bi onda veze Established nestale:
iptables -A INPUT -s ip -p udp --destination-port 53 --state ESTABLISHED -j DROP
iptables -A INPUT -s ip -p tcp --destination-port 53 --state ESTABLISHED -j DROP ????
zbog onog mog zadnjeg retka u iptables
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s ip -p udp --destination-port 53 --state ESTABLISHED -j DROP
iptables -A INPUT -s ip -p tcp --destination-port 53 --state ESTABLISHED -j DROP
Ne pomaže iptables, adresa i dalje ostaje nakačena, čak i kad oborim named, trenutno se skine i opet se nakači...