Kategorie: Server

Monitoring bind9 using munin

In this short tutotorial I  will show you how you can use munin for monitoring bind9 queries. This could be useful to see your DNS Server load and to define alert limits.

First we have to create some directories for the log files used to track bind dns queries:

mkdir /var/log/bind9
chown bind:bind /var/log/bind9

Next we have to modify the „options config file“ used by bind9 /etc/bind/named.conf.options

logging {
        channel log {
                file "/var/log/bind9/bind.log" versions 30 size 1m;
                print-time yes;
                print-category yes;
                print-severity yes;
                severity info;
        };

channel query {
                file "/var/log/bind9/query.log" versions 2 size 1m;
                print-time yes;
                severity info;
        };
category default { log; };
        category config { log };
        category queries { query; };
  };

To activate the bind9 munin plugin we have to set an symbolic link for it

ln -s /usr/share/munin/plugins/bind9 /etc/munin/plugins/bind9

and edit the file /etc/munin/plugin-conf.d/munin-node and add the following paragraph:

[bind9]
env.logfile /var/log/bind9/query.log

After restart of munin-node via service munin-node restart you can see after some time, that a graph is genereated

Hetzner führt DDOS Protection ein

Hetzner hat nach langer Ankündigung nun auch eine umfassende DDOS-Protection im Angebot, welche für alle Kunden kostenlos und wohl nach Angaben des Hosters schon länger im Live-Betrieb ist. Aus der Pressemitteilung entnommen soll die Protection folgendes leistem:

1. Automatische Erkennung von Angriffsmustern

Neben einer Erkennung basierend auf der Trafficmenge und Paketmenge ist Hetzner Online in der Lage, den eigentlichen Angriff genau einzugrenzen und dadurch präzise auf den verwendeten Angriffstyp einzugehen. Ein UDP-Flood mit 500.000 Paketen pro Sekunde ist für Server unbedenklich. 500.000 SYN Pakete können jedoch ein Problem darstellen. Genau diese Unterscheidung ist möglich.

2. Filtern des Traffics nach bekannten Angriffsmustern

Hierbei werden die häufig verwendeten Angriffe sehr effizient gefiltert, indem sie bereits in einem Filternetzwerk verworfen werden. Dies betrifft vor allem Angriffe wie DNS-Reflection, NTP-Reflection oder UDP Floods auf Port 80.

3. Challenge-Response-Authentifizierung und dynamische Trafficfilterung

An dieser Stelle werden Angriffe wie SYN-Floods, DNS-Floods und Invalid Packets gefiltert. Auch kann sehr flexibel auf einzelne Angriffe reagiert und diese zuverlässig mitigiert werden.