Ciao a tutti!
Ho un problema... anzi un problemone.
Da ieri a mezzanotto ho un'interfaccia WAN ADSL completamente satura a causa di traffico DNS, per saturata intendo impossibile da pingare.
Ho fatto un po' di sniffing dei pacchetti e sono tutti UDP53 (query dns) provenienti da diversi ip e destinate a due dei miei ip pubblici, tutte le query analizzate (ma magari è un puro caso di quei 10 secondi di sniffing) erano di un dominio "ripe.net".
Avete qualche idea di cosa può essere?
L'unico indizio è che da poco ho fatto aggingere dal mio provider dei record A che punta ad uno dei due ip pubblici interessati... ma non capisco cosa possa centrare, ho aggiunto dei record "A" non un NS...
Qualche idea?

Grazie

sciuro che non siano risposte a richieste interne? magari hai qualche macchina infetta

una prova da fare è proprio quella di staccare il lato lan e vedere se il flood continua

E' impossibile sia dall'interno perchè ho gestito il firewall/router che faccia uscire tutte le richieste LAN sull'altra interfaccia funzionante (wan2) e vedo che l'attività sul modem della wan1 (quella che mi da problemi) non è cambiata di una virgola.
Ho anche fisicamente staccato il cavetto dal modem e vedo che il modem continua a ricevere richieste... potrebbe essere un attacco DOS? Sono catastrofista? In tal caso io posso qualcosa o dipendo solo dal provider?
Ho bloccato le richiesta sul firewall, ma il problema è che il modem è piantato...

se è traffico indesiderato l'unica cosa che puoi fare credo sia mettere un firewall con una regola DROP

sembra un attacco allora, tipo smurf attacck. Il "problema" è che se utilizzano un qmplificatore per mandarti i pacchetti udp del dns (come sembra sia questo attacco) è una lotta fra banda e cpu. Avendo a disposizione un amplificatore loro sono generalmente in vantaggio.

Le cose da fare sono (in ordine sparso)

1)avvertire il tuo provider che blocchi lui la comunicazione (se ha voglia di farlo)
2) stacca la linea. al 99% è un bot che fa queste operazione e di tanto in tanto ti tiene sotto controllo per vedere se sei vivo. se vede crashato si ferma
3) rivolgiti a quelli del dns dicendo che stanno usando una loro vulnerabilità per uno smurf