none
ISA 2006 блокирует IP внутреннего DNS(DC) сервера, говорит что DNS флудит! RRS feed

  • Общие обсуждения

  • Схема такова:

    есть внутрений SBS 2003 сервер, на нем установлены следующие сервисы:

    AD контроллер домена

    DNS сервер

    Exchange 2003 SBS

    SpamFilter ORF

    второй сервер Server 2003 + ISA 2006

     

    Предположительно проблема в следующем:

    Спам фильтр отлавливает примерно 96% спам писем из всего возможного списка сообщений

    после установки спам фильтра количество запросов к DNS серверу резко увеличилось

    DNS настроен на пересылку запросов к DNS серверу провайдера

    на ISA сервере для внутреннего SBS сервера создано правило от сервера SBS (IP) во внешнюю сеть разрешено по 53 и по 25 порту без ограничений для всех пользователей!

    ISA сервер примерно раз в сутки отключает IP сервера SBS с ошибкой: превышено количество не TCP запросов от указаного IP адреса!

    с этого момента SBS не может отправлять почту, и пользователи не могут выйти в интернет так как DNS не может вернуть правильный результат!

    на ISA сервере, сервер SBS был добавлен в исключения в фильтре флуд атак, цифры флуд атак для исключительных серверов были изменены(увеличены) в полтора раза, эффекта не возимело!

    в дальнейшем флуд фитльтр был отключен вообще, проблема все равно осталась!

    подскажите в чем может быть причина?

    можно ли непосредственно DNS сервер ограничить по количеству запросов во внешнюю сеть?

     

Все ответы

  • non-TCP запросы не могут относиться к DNS, т.к. запросы к DNS используют UDP или TCP пакеты.

    Поэтому вы не туда копаете.

    Что значит проблема осталась? После отключения фильтра ISA продолжает блокировать адрес? Значит не этот фильтр работает. Либо настройки не применились (перезагрузка?).


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Модератор
  • non-TCP запросы не могут относиться к DNS, т.к. запросы к DNS используют UDP или TCP пакеты.


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/


    нет ли здесь противоречия? :) UDP и есть non-TCP
    Отвечающий
  • в данном случае речь идет о большом количестве запросов по протоколу  UDP

    DNS  на сколько мне известно использует UDP для обмена данными с другими DNS серверами

    для ISA сервера UDP запросы как раз являются не TCP, на что он и реагирует.

     

    отключение флуд фильтра было тем шагом который должен был прояснить ситуацию, вообще не хотелось бы оставлять этот фильтр отключенным, да и не в ISA проблема, ISA как раз правильно все закрыла, нельзя столько трафика с одного IP обрабатывать, проблема на другом сервере в DNS, он очень интенсивно делает запросы, можно ли средствами самого DNS сервера как то эти запросы ограничить, отфильтровать? хотя бы зафиксировать что да действительно DNS флудит непосредственно на сервере где установлен DNS

    о том что флудит DNS я сделал вывод на основе того что спам фильтр на каждое письмо делает запрос к DNS , а писем судя по логу, очень много,на одно письмо делаетс порядка 10 запросов в разные DNS блэк листы, если отключить спам фильтр флуд со стороны DNS прекращается, но тогда пользователи умирают под тоннами спама!

    я бы заменил спам фильтр если бы был уверен что это поможет!

    но я не понимаю как DNS может флудить с такой интенсивностью? даже при наличии спам фильтра, сколько же он запросов должен делать в минуту если ISA на него ругается!

    • Изменено Kislov-EA 13 мая 2010 г. 0:18 дополнения
  • нет ли здесь противоречия? :) UDP и есть non-TCP


    Да есть :-))

    Только у ISA в фильтре есть две строки:

    Maximum new non-TCP sessions per minute per rule

    Maximum concurrent UDP sessions per IP address

    и это сбивает с толку: понять логику ISA невозможно - просто так сделано :-))

     


     

    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/

    Модератор
  • Я понял проблему. Видел такое.

    Для этого правила в фильтре написано "Maximum new non-TCP sessions per minute per rule" - вот это "per rule" дает нам шанс обойти ограничение путем создания нескольких правил: например отделить запросы к серверу провайдера от запросов к антиспам спискам.


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Модератор
  • Предположу, что можно попробовать увеличить количество UDP подключений, ибо как описано в документации :

    По умолчанию ISA Server ограничивает число параллельных UDP-сеансов до 160 на каждого клиента.

    Для некоторых IP-адресов можно настроить исключения. По умолчанию это значение равно 400 сеансам в минуту.

     

    источник

    У вас изменения применились, ошибка перестала выскакивать? Правило публикации сделано мастером?

    Модератор
  • У человека появляется алерт "non-TCP" , а не UDP. Поэтому если увеличение числа UDP сессий сработает, то будет удивительно.


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Модератор
  • Виноват.

    DoS attack (non-TCP). A zombie host tries to launch a denial of service attack by sending numerous non-TCP requests, which are denied by an ISA Server rule.

    Non-TCP new sessions per minute, per rule. ISA Server mitigates non-TCP DoS attacks. In a non-TCP DoS attack, malicious hosts send numerous non-TCP packets to a victim server. The specific non-TCP traffic is allowed by an ISA Server rule.

    By default, ISA Server limits the number of non-TCP sessions per minute to 1,000, for the specific protocol (rule).

    Модератор
  • вообще я уже писал что изминил цифры флуд фильтра в полтора раза для исключительных IP

    там где было 160 для UDP настраиваемый предел я поставил 800 было 400

    для не TCP соединений было 1000 я изменил цифру до 2000

    и само собой добавил IP сервера в список исключительных IP

    в общем это не помогло, ошибки все равно появляются, и IP внутреннего сервера блокируется.

    на данный момент я вообще отключил флуд фильтр, ошибки сыпаться перестали, и пока так и осталю до выходных, в выходные буду опять пробовать включать фильтр и смотреть что из этого выйдет, спаму без разницы он приходит круглосуточно так что пока ни кто не работает буду проводить эксперименты по настройек флуд фильтрации

  • попробуй дня начала на моменты алертов сделат выборку и посмотреть сколько на самом деле запросов в минуту было и каких

    Отвечающий
  • Уважаемый Kislov-EA ,

    на какой стадии сейчас решение проблемы?

    10 июня 2010 г. 14:37
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    16 июня 2010 г. 6:47
    Модератор
  • Проблема с настройкой ISA2006 не решилась, причём аналогичная проблема появилась в другом месте на сервере ForefrontTMG, т.е. настройками этих программ решить данную проблему не получилось, проблему решили другим путем:

    на прокси сервер был установлен кэширующий DNS который был указан для внутрених DNS серверов единственным как сервер пересылки. Тем самым запросы от внутренних DNS серверов не проходили через firewall а обрабатывались непосредственно DNS сервером локально на том же компьютере где стоит ISA 2006(или в другом случае ForefrontTMG).

    11 марта 2012 г. 7:18