Forums:
Hola a todos,
Ultimamente cosas raras le pasan a mi servidor cache DNS. Este servidor de repente comienza a enviar un bastantes requerimientos tipo PTR a los forwarders, sin que ningun cliente de nuestra red se los halla solicitado.
Me he dado cuenta porque he capturar paquetes en nuestro cache dns y puedo ver como las solicitudes que le llegan de mi red son basicamente del tipo A y aun asi el cache dns emite requerimientos tipo PTR :?. Este hecho me causa el inconveniente de que mi ISP que me bloquee las ips porque detecta un ataque de negacion de servicio :P. No doy con la causa, pero espero que alguien con experiencia me pueda ayudar con algun tip sobre este problema.
Gracias por su ayuda.
cambiar de isp es una buena
cambiar de isp es una buena idea.
Cambiar el forwarder a opendns por ejemplo es otra
Lo que está sucediendo yo no creo que tenga visos de ilegalidad o problemas
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Hola, Hice el cambio de
Hola,
Hice el cambio de forwarders a opendns, y estare pendiente de como va mi cache dns. Aun me queda la duda de por que mi cache dns emite tantas solicitudes de ese tipo. Se que estas solicitudes sirve para hacer un reverse lookup, das la ip y te devuelve el nombre de ese host. Pero aun a mi me parece super raro que se emita tantos requerimientos, te doy unas cifras
de una muestra de 500kb capturada con tshark
86 solicitudes DNS de mis clientes a mi cache dns
4 eran del tipo PTR
76 eran del tipo A
1697 solicitudes salieron de mi cache dns a los forwarders
1603 eran del tipo PTR
82 eran del tipo A
es normal esto en un cache dns, que simplemente comience a realizar pedidos DNS que los clientes no le hallan solicitado? o que otra razon tiene para realizar tantos requerimientos PTR
Gracias por tu ayuda
Imagination is more important than Knowledge -- Albert Einstein
Errar es humano, pero para dañar las cosas realmente bien, pero bien de verdad, necesitas la contraseña de root.
esa captura no indica un
esa captura no indica un rango de tiempo, habrán sido en 10 horas o en 10 minutos? Supongo que son de una red muy grande durante un intervalo de tiempo razonablemente grande. Realmente no me preocuparía tanto, si las máquinas quieren preguntar, que pregunten.
qué máquinas preguntan? Qué preguntan exactamente? Por ahi podrías saber algo más, pero creo que no es para preocuparse.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Bien podría ser un servicio
Bien podría ser un servicio normal que escribe en sus logs los nombres de los clientes remotos que lo contactan. Algunos servicios como los monitores de tráfico o analizadores de log procesan los ips vistos, hacen la consulta ptr correspondiente y luego en sus reportes escriben el nombre del host. Analiza los servicios que corres y limítalos al mínimo necesario para proveer el servicio.
la captura duro 3 minutos
la captura duro 3 minutos (por lo cual si me parecia raro), pero ya encontre que esta causando tantos requerimientos. habian dejado corriendo un jnettop sin la opcion -n, asi que este era el que esta realizando las peticiones tipo PTR ... a la final nada del otro mundo, pero por le menos ya me saque la pica :D, gracias por su ayuda.
Imagination is more important than Knowledge -- Albert Einstein
Errar es humano, pero para dañar las cosas realmente bien, pero bien de verdad, necesitas la contraseña de root.