Перейти к содержимому
Калькуляторы

DNS мусор в кеше?????

Привет всем!!!!

Просматривая свои  микротики,  обратил внимание  на  Dns кеш, который  явно увеличился.  Вначале шли какие то непонятные направления.

Классический скрипт в ip firewall  filter rules  установлен и поднят  вверх

/ip firewall filter
add action=drop chain=input comment="BLOCK input 53 port" dst-port=53 in-interface=wan protocol=udp

 

После очистки кеша этот мусор опять появляется  через некоторое время....

Что это может быть???

В качестве DNІ использую первым  IP провайдера. Вторым 8.8.8.8.

 

 

 

 

DNS мусор2.jpg

Изменено пользователем uraso

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте!

Выдерните шнур из wan и посмотрите вокруг будет мусор снова, отпишитесь.

 

P.S.

Как вы вообще оказались около ccr1009?

 

Изменено пользователем Chexov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вытянуть шнур из WAN   ccr1009   я пока  не могу... Он за 15км...

И работает все нормально 2 года.

Я  просто обратил внимание на большое количество именно непонятных обращений в ДНС.... 

Возможно это зараженные компьютеры  дают  непонятные запросы ....

Если вы знаете причину этого то объясните ... Может это  нормальное явление  для сети с большим  количеством пользователей?

Раньше просто на ето не обращал  внимания.

Я заходил  удаленно в другие микротики .  На домашних RB 

этого мусора очень мало...

Ну а кто  с какой железкой где оказался давайте не выяснять....

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 12/9/2018 в 11:55, uraso сказал:

Ну вытянуть шнур из WAN   ccr1009   я пока  не могу... Он за 15км...

И работает все нормально 2 года.

Я  просто обратил внимание на большое количество именно непонятных обращений в ДНС.... 

Возможно это зараженные компьютеры  дают  непонятные запросы ....

Если вы знаете причину этого то объясните ... Может это  нормальное явление  для сети с большим  количеством пользователей?

Раньше просто на ето не обращал  внимания.

Я заходил  удаленно в другие микротики .  На домашних RB 

этого мусора очень мало...

Ну а кто  с какой железкой где оказался давайте не выяснять....

 

 

Да же не знаю как вам ответить, чтоб не обиделись... может это поможет https://www.lifewire.com/what-is-a-dns-cache-817514

И все же надо знать что такое Cache и DNS Cache раз вы рядом с ccr1009

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 12/6/2018 в 13:53, uraso сказал:

add action=drop chain=input comment="BLOCK input 53 port" dst-port=53 in-interface=wan protocol=udp

А как же TCP? 

Добавьте такое же правило с TCP и посмотрите счетчик, можно также вывести в лог

 

DNS Protocol transport
DNS primarily uses the User Datagram Protocol (UDP) on port number 53 to serve requests.[3] DNS queries consist of a single UDP request from the client followed by a single UDP reply from the server. When the length of the answer exceeds 512 bytes and both client and server support EDNS, larger UDP packets are used. Otherwise, the query is sent again using the Transmission Control Protocol (TCP). TCP is also used for tasks such as zone transfers. Some resolver implementations use TCP for all queries.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что с /ip dns allow-remote-request?

Если включено, попробуйте:

 

/ip dns cache flush

/ip dns set allow-remote-request=no

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если /ip dns set allow-remote-request=no    то все записи днс исчезают сответственно.... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто-то обращается к микротику как к dns-серверу с запросами  странных имён. Вероятно, это зараженный вирусом комп. Включите логирование dns-запросов - увидите кто именно.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 12/13/2018 в 09:43, nkusnetsov сказал:

Кто-то обращается к микротику как к dns-серверу с запросами  странных имён. Вероятно, это зараженный вирусом комп. Включите логирование dns-запросов - увидите кто именно.

 

Он же пишет, что этот по ему мнению... этот мусор на ccr1009  где много пользователей (500), а на RB2011 где мало пользователей (5) мало этого мусора.

 

Ну и на засыпку, почему где много пользователей там много обращений к dns? Неужто вирусы?

 

Изменено пользователем Chexov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Chexov , дело не в количестве запросов вообще, а в количестве неразрешимых запросов к нечитаемым именам (см.скриншот).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, nkusnetsov сказал:

@Chexov , дело не в количестве запросов вообще, а в количестве неразрешимых запросов к нечитаемым именам (см.скриншот).

Вы посмотрите в крупной компании где стоит ccr1009  или в бизнес центре, там тоже будут 0.0.0.0 присутствовать, это он отсортировал что показывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо всем кто откликнулся.

Попробую по вашему совету включить логирование dns-запросов .

Посмотрим что покажет.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 16.12.2018 в 02:52, Chexov сказал:

Вы посмотрите в крупной компании где стоит ccr1009  или в бизнес центре, там тоже будут 0.0.0.0 присутствовать, это он отсортировал что показывает.

Вы посмотрите в столбец "name" и подумайте откуда берутся запросы о таких именах.
На корпоративных  RB1100AHx4, RB1100AHx2, RB3011 нет такой массовой проблемы. Единичные криво набранные запросы в адресной строке дают единичные записи.
На роутере рулящем гостевой сетью появляется при подключении зараженных девайсов.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посмотрите не включен ли случаем прокси на микротике, да обновите ПО.

Вариант быстро найти кто создает эти запросы - торчем по порту ДНС от абонентов, у кого будет большая активность по трафику - тот и запрашивает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас