www.quidonc.com, Wanadoo et les dns ...

[SuperAdmin]

Bonjour,

Depuis quelques heures, Notre FAI (Wanadoo) a coupé notre accès au net pour cause d'attaque sur ses serveurs DSN.

Il semblerait que de multiples requêtes DNS soient envoyées de chez nous aux serveurs de Nom du FAI, monopolisant jusqu'à 15% des ressources système des serveurs.

lorsqu'on sait que ces serveurs traitent 3 millions de requetes a l'heure, on se dit que cela doit etre pas mal, 15% ...

Il s'agit de résolutions DNS sur le domaine www.quidonc.com, qui n'existe pas d'ailleurs ...

Apres enquête sur la passerelle, aucun troyen ni virus, d'après trend Server Protect avec les dernières signatures. Rien non plus avec Spybot et adware de lavasoft, toujours avec les dernières références en date.

Le PC est un W2KSrv-SP4.Fr
Il est patché avec les derniers correctifs de MS.

La vérification de la config pare feux et Proxy ne donne rien, elle semble correcte.

Je penche pour un client LAN, mal configuré au niveau IP, et qui hébergerait un soft espion, ou un virus générateur de requêtes DNS...

Pour l'instant, je vais bloquer le relais DNS vers le WAN sur ce domaine en insérant un enregistrement bidon sur les DNS internes au lan, et eviter le relais de l arequete vers les dns WAN, mais j'aimerais éviter de colmater une brèche avec un sparadrap et éradiquer le problème à son origine, si possible.

Alors, si l'un d'entre vous a connu ce genre de symptômes, et peut éventuellement me donner des informations, ou une piste qui me ferait gagner du temps ... vous feriez de moi un admin heureux !

Merci d'avance.
Superadmin, qui pour l'instant est superplexe.
A+

[Xarli]

Installe un sniffeur capable d'analyser les requêtes DNS sur la passerelle et analyse d'où viennent ces requêtes DNS, Ethereal par exemple : http://www.ethereal.com/ (soft sous GPL). Tu sauras ainsi quelle(s) machine(s) sont responsables et donc sont à isoler.

Xarli

[blackjack]

Salut !

Nous avons rencontré ce genre de problème et il s'avèrait que cela provenait d'un de nos clients VPN infecté par un virus. Par contre je ne saurais te dire lequel, je n'ai pas été mis au courant de toute la procédure de résolution.
Désolé.

Enfin si vous possédez ce type de structure, tu peux toujours jeter un coup d'oeil de ce côté là.

[SuperAdmin]

Salut Les gars.

Xarli :
J'ai tenté de capturer le trafic dns avec sniffer pro, plus ou moins equivalent a ethereal, mais je n'ai malheureusement recuperé que du trafic sur des requetes dns normales et legitimes ... perte de temps.

Depuis le jour ou j'ai eu le souci, il ne se passe plus rien de significatif, alors que je n'ai rien trouvé ni rien changé sur le proxy/fw d'accès adsl.

Bref, je m'oriente sur 2 explications :

1-Un pti rigolo executait Softkifouladaube 2.1 depuis son poste.
2-Un deni de service dns par rebond Wan ...
(m'ouaips .. why not ... mon proxy ne devrait pas accepter les requetes venant du wan, mais bon, avec toutes ces nlles techniques de spoof et de hack, on sait plus trop, hein , alors apres tout ... )

Blackjack :
Je n'ai pas de VPN sur cette ligne la, donc cela ne peut venir de la ... mais merci quand meme pour ton attention.

Vu le bordel que cela à foutu sur l'accès au net et a la messagerie, et les désagréables reflections de la hierarchie, qui n'a pu consulter boursorama.com pendant 2 jours, je suppose que le petit rigolo sur le lan a decidé de se faire oublier ... ?

A+