[Sysadmins] Тысяча и один коннект BIND

[alexei на taf.ru]

----- Исходное сообщение -----
> От: "Павел Караваев" <pppd на yandex.ru>
> Кому: "ALT Linux sysadmins discussion" <sysadmins на lists.altlinux.org>
> Отправленные: Вторник, 17 Февраль 2015 г 15:42:29
> Тема: [Sysadmins] Тысяча и один коннект BIND

> Приветствую!
> 
> С недавнего времени начал замечать, что bind изредка на вполне нормальные домены
> стал выдавать "SERVFAIL". Тут же повторишь запрос - резолвит. Обнаружил, что
> несколько клиентов постоянно заваливают запросами вида "A?
> hyxhvpioqbmfsak.www.ludashi12345.com" пару определенных внешних dns серверов.
> На данный момент картина такая:
> 
> [root на ns1 zone]# netstat -an|grep ':53'|wc -l
> 1014
> [root на ns1 zone]#
> 
> [root на ns2 zones]# netstat -an|grep ':53'|wc -l
> 1012
> [root на ns2 zones]#
> 
> Т.е. явно упирается в какое-то ограничение. Включил debug 3 - в логах никакой
> ругани. Покурил маны по опциям bind, похожих опций не нашел. Посмотрел
> limits.conf - там лимит в 4096 файлов. Где еще может быть собака зарыта? Хотя
> думаю, что повышение лимита результата не даст - он опять моментально будет
> достигнут...
> 
> В качестве временной меры дропаю исходящие пакеты на эти пару серверов, но это
> же не выход... Как бороться?

Во-первыз, заблочить прием запросов от этих клиентов. Во-вторых, провести
профилактические беседы с этими несколькими клиентами по поводу поселившихся
у них ботов. Блокируя исходящие запросы на атакуемые DNS вы проблему с
дескрипторами не решаете.