Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » подозрительная активность на 53 порту сервера

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hexen4

Цитата:
то еще и меня пощитают ддосером

Для этого есть тег [more]
 

Цитата:
о каком запросе к китайцам и их ответе идет речь?

Я так понимаю, что вы не особо вчитываетесь в то, что писали выше. Китайцы - chinamobile
 
Но уже привели нужное. Это действительно обычный ptr запрос, с ответом выдающим остальные упомянутые NS, к которым ваш dns видимо начинает делать запросы и получает аналогичные ответы со списком. Пока не могу сам с планшета напрямую сделать запрос к китайцам, но вашему провайдеру и другим они почему то не отвечают.
 
Почему так поступает - включите на время логи, может будет понятно - сам перебирает или кто то просит (но кэширование dns ответов не должно было бы привести к подобному). Простейшее решение - заблокировать доступ к тем 4 ip. Если сам зациклился (что звучит очень странно), то первоначальный запрос мог быть давным давно, после чего возник такой цикл. Но такая зацикленность должна вылетать по таймауту. Можно ещё очистить очередь после остановки dns (если имеется такая возможность у сервера)
 
В целом такие лупы возможны, но при определенных условиях
https://community.akamai.com/community/web-performance/blog/2016/08/11/dns-circular-detection-and-looping

Цитата:
As the name suggests, Circular Dependencies occurs when the resolver is switching back and forth between the resolvers and the TLDs before it could point to the authoritative server or time out.
 
Let us take a domain example.com whose name servers are configured to be ns1.example.com and ns2.example.com.
 
These name servers should be present in the zone file of .com servers along with its IP address. This IP address acts as the glue record while serving the NS record to the resolver. Assuming that there is no glue record:
 
The .com server will hand out a NS record (ns1.example.com) without its IP address. DNS resolver now has to resolve for the IP address of ns1.example.com before it can query it.
 
The authoritative server for ns1.example.com would be example.com again. This puts the DNS resolver in a circular Dependencies in the TLD trying to resolve example.com and its name server ns1.example.com until it times out.
Всего записей: 15097 | Зарегистр. 20-09-2014 | Отправлено: 12:56 06-04-2018 | Исправлено: Mavrikii, 13:14 06-04-2018
hexen4

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По поводу глюков dns я могу попробовать только почистить кеш на своем... и адреса забаню.
Правда это я уже делал недавно с другими адресами, и какое-то время все вроде работало нормально.
Может я и ошибаюсь, но не может ли это быть какой-либо скрытый процесс, который очень  
не любит чинамобайл и пытается его сервера заддосить?
Всего записей: 19 | Зарегистр. 02-03-2004 | Отправлено: 13:54 06-04-2018
Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hexen4

Цитата:
пытается его сервера заддосить

Используя ваш днс? При нормальном ответе ваш днс должен закэшировать ответ и выдавать его, а не спрашивать заново. И по содержимому пакетов там не идёт резолв чего то постороннего. Так что это скорее всего именно та ситуация с зацикливанием из которого, почему то, ваш сервер не может самостоятельно выбраться.  
Если он не сохраняет состояние при перезапуске, то перезапуск службы выведет из этого состояния (до следующей ситуации когда какой либо запрос приведет к подобному результату)
Всего записей: 15097 | Зарегистр. 20-09-2014 | Отправлено: 14:00 06-04-2018 | Исправлено: Mavrikii, 14:02 06-04-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если сделать выборку вообще по всем адресам. Просто порт 53. Неужели тишина?
Намекаю на то, что проблемы нет. Какой-то клиент в сети, сейчас вся техника из Китая

----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:24 06-04-2018
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А я бы для начала посмотрел настройки самого DNS.
Нет ли там случайно зоны "."?
Потом можно заглянуть в настройки пересылки и корневые ссылки.
Для разгрузки контроллера я бы рекомендовал ещё один DNS сервер где то рядом со squid, желательно BIND на который пересылать все запросы не касающиеся локалки.

----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 13:50 07-04-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » подозрительная активность на 53 порту сервера


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru