Козлизм

Сегодня мониторил свой ДНС. Увидел кучу запросов на ghmn.ru ANY
Запросы идут по UDP, (скорее всего, с поддельных айпишников), с частотой примерно 200 запросов в секунду. Неслабо.
Очень похоже на DNS Amlifying attack.

В кэше у меня пусто, named настроен из кэша не своим ничего не давать, чужие запросы вообще не обслуживать. Однако, стало интересно, что за зона такая ghmn.ru, что в ней лежит?
Проверил. Неймсервер говорит, что там 255 айпишников, все в одной подсети - 5.135.4.0/24 . Зто же было бы более 4-х кб на описание зоны. То есть 10 Мбит/сек исходящего траффика - псу под хвост. Значит, почти наверняка DNS Amlifying attack. Думаю: это как же, хаксоры запойзонили ник.ру? Проверяю по whois - что за зона такая ghmn.ru, реальная или фейковая?

Однако, whois говорит, что реальная, зарегистрированная 9 ноября сего года через reg.ru (правда, на Private Person)… Вот козлы, однако. Поймать - яйца открутить…

security_lab/ghmn.txt · Last modified: 2014/02/12 23:39 by drybkin
About this template
CC Attribution-Share Alike 4.0 International
Powered by PHP Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Valid HTML5