enviando demasiados requisitos PTR

Imagen de elgabo

Forums: 

Hola a todos,

Ultimamente cosas raras le pasan a mi servidor cache DNS. Este servidor de repente comienza a enviar un bastantes requerimientos tipo PTR a los forwarders, sin que ningun cliente de nuestra red se los halla solicitado.

Me he dado cuenta porque he capturar paquetes en nuestro cache dns y puedo ver como las solicitudes que le llegan de mi red son basicamente del tipo A y aun asi el cache dns emite requerimientos tipo PTR :?. Este hecho me causa el inconveniente de que mi ISP que me bloquee las ips porque detecta un ataque de negacion de servicio :P. No doy con la causa, pero espero que alguien con experiencia me pueda ayudar con algun tip sobre este problema.

Gracias por su ayuda.

cambiar de isp es una buena

Imagen de Epe

cambiar de isp es una buena idea.

Cambiar el forwarder a opendns por ejemplo es otra

Lo que está sucediendo yo no creo que tenga visos de ilegalidad o problemas

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Hola, Hice el cambio de

Imagen de elgabo

Hola,

Hice el cambio de forwarders a opendns, y estare pendiente de como va mi cache dns. Aun me queda la duda de por que mi cache dns emite tantas solicitudes de ese tipo. Se que estas solicitudes sirve para hacer un reverse lookup, das la ip y te devuelve el nombre de ese host. Pero aun a mi me parece super raro que se emita tantos requerimientos, te doy unas cifras

de una muestra de 500kb capturada con tshark

86 solicitudes DNS de mis clientes a mi cache dns
4 eran del tipo PTR
76 eran del tipo A

1697 solicitudes salieron de mi cache dns a los forwarders
1603 eran del tipo PTR
82 eran del tipo A

es normal esto en un cache dns, que simplemente comience a realizar pedidos DNS que los clientes no le hallan solicitado? o que otra razon tiene para realizar tantos requerimientos PTR

Gracias por tu ayuda

Imagination is more important than Knowledge -- Albert Einstein
Errar es humano, pero para dañar las cosas realmente bien, pero bien de verdad, necesitas la contraseña de root.

esa captura no indica un

Imagen de Epe

esa captura no indica un rango de tiempo, habrán sido en 10 horas o en 10 minutos? Supongo que son de una red muy grande durante un intervalo de tiempo razonablemente grande. Realmente no me preocuparía tanto, si las máquinas quieren preguntar, que pregunten.

qué máquinas preguntan? Qué preguntan exactamente? Por ahi podrías saber algo más, pero creo que no es para preocuparse.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Bien podría ser un servicio

Imagen de acl

Bien podría ser un servicio normal que escribe en sus logs los nombres de los clientes remotos que lo contactan. Algunos servicios como los monitores de tráfico o analizadores de log procesan los ips vistos, hacen la consulta ptr correspondiente y luego en sus reportes escriben el nombre del host. Analiza los servicios que corres y limítalos al mínimo necesario para proveer el servicio.

la captura duro 3 minutos

Imagen de elgabo

la captura duro 3 minutos (por lo cual si me parecia raro), pero ya encontre que esta causando tantos requerimientos. habian dejado corriendo un jnettop sin la opcion -n, asi que este era el que esta realizando las peticiones tipo PTR ... a la final nada del otro mundo, pero por le menos ya me saque la pica :D, gracias por su ayuda.

Imagination is more important than Knowledge -- Albert Einstein
Errar es humano, pero para dañar las cosas realmente bien, pero bien de verdad, necesitas la contraseña de root.