log

Pada tahun 2014 secara tidak sengaja kami menemukan link [sekarang link tersebut sudah tidak ada] http://opensource.telkomspeedy.com/forum/viewtopic.php?id=9539 User yang memposting daftar tersebut memasukkan DNS UKDW sebagai salah satu "free dns server" yang bisa digunakan untuk membantu mempercepat koneksi internet [baca: proses resolve hostname] seperti yang dilakukan oleh DNS server provider Indosat, Telkom, Google DNS, Open DNS dll..... Karena user dari berbagai lokasi dapat menggunakan DNS UKDW secara bebas mengakibatkan jumlah query ke port 53 menjadi tinggi. Sehingga server kewalahan dalam menangani query [khususnya recursive query ]. Terlihat di pesan yg memenuhi /var/log/messages: .... Apr 15 12:03:14 ns1 named[40297]: client 36.83.10.176#10331: no more recursive clients: quota reached Apr 15 12:03:14 ns1 named[40297]: client 222.124.22.30#52110: no more recursive clients: quota reached Apr 15 12:03:14 ns1 named[40297]: client 222.124.22.30#45911: no more re

...lanjutan dari post sebelumnya tentang serangan ke service ntpd Rule ipfw yang sempat dicoba untuk menghalangi serangan ke ntpd: # ipfw add 99 deny log all from any to any dst-port 123 in recv em0 Setelah diamati beberapa saat memang rule tersebut memang berhasil mencegah serangan, tapi ternyata server juga gagal melakukan query ke server ntpd lain.. Solusi dari: http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html server# cat /etc/ntp.conf # by default act only as a basic NTP client restrict -4 default nomodify nopeer noquery notrap restrict -6 default nomodify nopeer noquery notrap # allow NTP messages from the loopback address, useful for debugging restrict 127.0.0.1 restrict ::1 # server(s) we time sync to server 3.id.pool.ntp.org server 1.asia.pool.ntp.org server 3.asia.pool.ntp.org #restrict IP_ADDRESS mask 255.255.255.240 nomodify notrap restrict IP_ADDRESS mask 255.255.255.240 Kemudian dicoba restart ntpd dan hasilnya: server bisa melakukan query

Pada 10 Feb 2014 terima e-mail pemberitahuan dari pak Dono [Indosat] bahwa koneksi internet ke UKDW dimatikan sementara karena ada traffic upstream sangat besar/flooding dari UKDW ke arah Indosat mulai tgl 9 Feb kira-kira jam 00.00. Proses investigasi:  - Periksa statistik traffic di switch Catalyst, ada beberapa server dan router yg terhubung disini seperti  server Sinta, Faith dan lain-lain. - Statistik di catalyst kemudian di- cross-check dengan traffic yang tercatat di masing-masing server maupun router, dan akhirnya diketahui asal traffic tersebut berasal dari server Faith [sistem operasi FreeBSD] yang merupakan gateway ke internet utk LAN laboratorium (internet)  Untuk memastikan jenis traffic yang lewat sebenarnya perlu melihat statistik di routerboard yang ada di lab, tapi karena ada sedikit hambatan koordinasi, maka investigasi difokuskan pada server Faith itu sendiri: Langkah pertama: periksa semua process [ ps ] yang jalan di server Faith [sistem operasi Freebsd] sepint