Jump to content
Калькуляторы

DNS мусор в кеше?????

Привет всем!!!!

Просматривая свои  микротики,  обратил внимание  на  Dns кеш, который  явно увеличился.  Вначале шли какие то непонятные направления.

Классический скрипт в ip firewall  filter rules  установлен и поднят  вверх

/ip firewall filter
add action=drop chain=input comment="BLOCK input 53 port" dst-port=53 in-interface=wan protocol=udp

 

После очистки кеша этот мусор опять появляется  через некоторое время....

Что это может быть???

В качестве DNІ использую первым  IP провайдера. Вторым 8.8.8.8.

 

 

 

 

DNS мусор2.jpg

Edited by uraso

Share this post


Link to post
Share on other sites

Здравствуйте!

Выдерните шнур из wan и посмотрите вокруг будет мусор снова, отпишитесь.

 

P.S.

Как вы вообще оказались около ccr1009?

 

Edited by Chexov

Share this post


Link to post
Share on other sites

Ну вытянуть шнур из WAN   ccr1009   я пока  не могу... Он за 15км...

И работает все нормально 2 года.

Я  просто обратил внимание на большое количество именно непонятных обращений в ДНС.... 

Возможно это зараженные компьютеры  дают  непонятные запросы ....

Если вы знаете причину этого то объясните ... Может это  нормальное явление  для сети с большим  количеством пользователей?

Раньше просто на ето не обращал  внимания.

Я заходил  удаленно в другие микротики .  На домашних RB 

этого мусора очень мало...

Ну а кто  с какой железкой где оказался давайте не выяснять....

 

Share this post


Link to post
Share on other sites

В 12/9/2018 в 11:55, uraso сказал:

Ну вытянуть шнур из WAN   ccr1009   я пока  не могу... Он за 15км...

И работает все нормально 2 года.

Я  просто обратил внимание на большое количество именно непонятных обращений в ДНС.... 

Возможно это зараженные компьютеры  дают  непонятные запросы ....

Если вы знаете причину этого то объясните ... Может это  нормальное явление  для сети с большим  количеством пользователей?

Раньше просто на ето не обращал  внимания.

Я заходил  удаленно в другие микротики .  На домашних RB 

этого мусора очень мало...

Ну а кто  с какой железкой где оказался давайте не выяснять....

 

 

Да же не знаю как вам ответить, чтоб не обиделись... может это поможет https://www.lifewire.com/what-is-a-dns-cache-817514

И все же надо знать что такое Cache и DNS Cache раз вы рядом с ccr1009

 

 

Share this post


Link to post
Share on other sites

В 12/6/2018 в 13:53, uraso сказал:

add action=drop chain=input comment="BLOCK input 53 port" dst-port=53 in-interface=wan protocol=udp

А как же TCP? 

Добавьте такое же правило с TCP и посмотрите счетчик, можно также вывести в лог

 

DNS Protocol transport
DNS primarily uses the User Datagram Protocol (UDP) on port number 53 to serve requests.[3] DNS queries consist of a single UDP request from the client followed by a single UDP reply from the server. When the length of the answer exceeds 512 bytes and both client and server support EDNS, larger UDP packets are used. Otherwise, the query is sent again using the Transmission Control Protocol (TCP). TCP is also used for tasks such as zone transfers. Some resolver implementations use TCP for all queries.

Share this post


Link to post
Share on other sites

Кто-то обращается к микротику как к dns-серверу с запросами  странных имён. Вероятно, это зараженный вирусом комп. Включите логирование dns-запросов - увидите кто именно.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

В 12/13/2018 в 09:43, nkusnetsov сказал:

Кто-то обращается к микротику как к dns-серверу с запросами  странных имён. Вероятно, это зараженный вирусом комп. Включите логирование dns-запросов - увидите кто именно.

 

Он же пишет, что этот по ему мнению... этот мусор на ccr1009  где много пользователей (500), а на RB2011 где мало пользователей (5) мало этого мусора.

 

Ну и на засыпку, почему где много пользователей там много обращений к dns? Неужто вирусы?

 

Edited by Chexov

Share this post


Link to post
Share on other sites

@Chexov , дело не в количестве запросов вообще, а в количестве неразрешимых запросов к нечитаемым именам (см.скриншот).

Share this post


Link to post
Share on other sites

4 часа назад, nkusnetsov сказал:

@Chexov , дело не в количестве запросов вообще, а в количестве неразрешимых запросов к нечитаемым именам (см.скриншот).

Вы посмотрите в крупной компании где стоит ccr1009  или в бизнес центре, там тоже будут 0.0.0.0 присутствовать, это он отсортировал что показывает.

Share this post


Link to post
Share on other sites

Спасибо всем кто откликнулся.

Попробую по вашему совету включить логирование dns-запросов .

Посмотрим что покажет.....

Share this post


Link to post
Share on other sites

В 16.12.2018 в 02:52, Chexov сказал:

Вы посмотрите в крупной компании где стоит ccr1009  или в бизнес центре, там тоже будут 0.0.0.0 присутствовать, это он отсортировал что показывает.

Вы посмотрите в столбец "name" и подумайте откуда берутся запросы о таких именах.
На корпоративных  RB1100AHx4, RB1100AHx2, RB3011 нет такой массовой проблемы. Единичные криво набранные запросы в адресной строке дают единичные записи.
На роутере рулящем гостевой сетью появляется при подключении зараженных девайсов.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Посмотрите не включен ли случаем прокси на микротике, да обновите ПО.

Вариант быстро найти кто создает эти запросы - торчем по порту ДНС от абонентов, у кого будет большая активность по трафику - тот и запрашивает.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.