OVH Community, votre nouvel espace communautaire.

Spam de requêtes DNS étranges


Nicnl
12/09/2014, 13h43
Bonjour,

J'ai commandé il y a un mois maintenant un SYS SAT-1.
J'y ai installé un XenServer, installé un serveur DNS sur une des IPs FailOver et fais pointer mes domaines dessus.
Le serveur DNS fonctionne normalement, et il n'y a aucune erreur sur intodns.

Mais j'ai constaté quelque chose d'étrange... mes logs système n'arrêtent pas d'augmenter, à une vitesse inquiétante.
En à peine deux jours, ils ont pris 100 Mo.

Et le daemon fautif est bind9...
Mon serveur DNS semble recevoir une quantité énorme de requêtes DNS extrêmement étranges.

Voici un extrait des logs :
Sep 12 14:25:01 TrololoDB764 named[2317]: client 65.105.255.98#32822: query (cache) 'upsxkvkbeb.185.pxxxg.net/A/IN' denied
Sep 12 14:25:01 TrololoDB764 named[2317]: client 1.108.175.100#45116: query (cache) 'mpgnuhajohqj.www.jsc7777.com/A/IN' denied
Sep 12 14:25:01 TrololoDB764 named[2317]: client 92.27.90.112#4264: query (cache) 'ub.185.pxxxg.net/A/IN' denied
Sep 12 14:25:01 TrololoDB764 named[2317]: client 25.112.8.60#14620: query (cache) 'kx.185.pxxxg.net/A/IN' denied
Sep 12 14:25:01 TrololoDB764 named[2317]: client 102.118.228.185#44967: query (cache) 'ezazypszalmtsngd.www.amdc0001.com/A/IN' denied
Sep 12 14:25:01 TrololoDB764 named[2317]: client 17.113.115.197#38055: query (cache) 'ibapafwt.185.pxxxg.net/A/IN' denied
Sep 12 14:25:02 TrololoDB764 named[2317]: client 33.231.162.161#58479: query (cache) 'qhqtmtghorefexul.www.milan09.com/A/IN' denied
Sep 12 14:25:02 TrololoDB764 named[2317]: client 88.240.28.198#52390: query (cache) 'shgzevcjwnadkpel.www.milan09.com/A/IN' denied
Sep 12 14:25:02 TrololoDB764 named[2317]: client 124.10.7.147#64935: query (cache) 'uvydsrmn.www.jsc7777.com/A/IN' denied
Sep 12 14:25:02 TrololoDB764 named[2317]: client 77.81.98.5#55580: query (cache) 'ankbwdenedol.www.jsc7777.com/A/IN' denied
Comme vous pouvez le constater, mon serveur reçois entre 5 et 10 requêtes DNS par seconde !
Elles sont évidemment refusées d'office, vu que mon serveur n'héberge pas les noms de domaines demandés.

J'ai ce problème depuis environ une semaine, c'est à dire dès que la configuration de mon serveur DNS fut terminée.
Mes logs saturent...

Et le pire, c'est que ces domaines ne semblent même pas exister...
C:\Users\Nicnl>nslookup upsxkvkbeb.185.pxxxg.net
Serveur : google-public-dns-a.google.com
Address: 8.8.8.8

DNS request timed out.
timeout was 2 seconds.
*** google-public-dns-a.google.com ne parvient pas à trouver upsxkvkbeb.185.pxxx
g.net : Server failed
J'ai récupéré une plage de 10 heures ( parmi la quantité affreuse de logs ), et voici ce que j'en ai tiré :
Sur ces 10 heures, mon serveur a reçu un total d'environ 85000 requêtes, à peu près 84950 ( soit la quasi totalité ) des IPs étaient individuelles.
Pas moyen, donc, de les bannir à coup d'iptables.

La seule explication que je vois serait que l'ancien propriétaire de cette IP FailOver a hébergé des DNS un peu borderline, ou quelque chose pas très net du genre...
J'ai déjà tenté de contacter le support SYS il y a deux jours, mais je n'ai toujours pas eu de réponse.

Savez vous s'il existe des solutions à mon problème ?
Qu'en pensez vous, avez-vous déjà croisé des bizarreries du même genre ?

Je vous remercie d'avance.