uraso Posted December 6, 2018 (edited) · Report post Привет всем!!!! Просматривая свои микротики, обратил внимание на Dns кеш, который явно увеличился. Вначале шли какие то непонятные направления. Классический скрипт в ip firewall filter rules установлен и поднят вверх /ip firewall filter add action=drop chain=input comment="BLOCK input 53 port" dst-port=53 in-interface=wan protocol=udp После очистки кеша этот мусор опять появляется через некоторое время.... Что это может быть??? В качестве DNІ использую первым IP провайдера. Вторым 8.8.8.8. Edited December 6, 2018 by uraso Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Chexov Posted December 6, 2018 (edited) · Report post Здравствуйте! Выдерните шнур из wan и посмотрите вокруг будет мусор снова, отпишитесь. P.S. Как вы вообще оказались около ccr1009? Edited December 6, 2018 by Chexov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uraso Posted December 9, 2018 · Report post Ну вытянуть шнур из WAN ccr1009 я пока не могу... Он за 15км... И работает все нормально 2 года. Я просто обратил внимание на большое количество именно непонятных обращений в ДНС.... Возможно это зараженные компьютеры дают непонятные запросы .... Если вы знаете причину этого то объясните ... Может это нормальное явление для сети с большим количеством пользователей? Раньше просто на ето не обращал внимания. Я заходил удаленно в другие микротики . На домашних RB этого мусора очень мало... Ну а кто с какой железкой где оказался давайте не выяснять.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Chexov Posted December 10, 2018 · Report post В 12/9/2018 в 11:55, uraso сказал: Ну вытянуть шнур из WAN ccr1009 я пока не могу... Он за 15км... И работает все нормально 2 года. Я просто обратил внимание на большое количество именно непонятных обращений в ДНС.... Возможно это зараженные компьютеры дают непонятные запросы .... Если вы знаете причину этого то объясните ... Может это нормальное явление для сети с большим количеством пользователей? Раньше просто на ето не обращал внимания. Я заходил удаленно в другие микротики . На домашних RB этого мусора очень мало... Ну а кто с какой железкой где оказался давайте не выяснять.... Да же не знаю как вам ответить, чтоб не обиделись... может это поможет https://www.lifewire.com/what-is-a-dns-cache-817514 И все же надо знать что такое Cache и DNS Cache раз вы рядом с ccr1009 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 11, 2018 · Report post В 12/6/2018 в 13:53, uraso сказал: add action=drop chain=input comment="BLOCK input 53 port" dst-port=53 in-interface=wan protocol=udp А как же TCP? Добавьте такое же правило с TCP и посмотрите счетчик, можно также вывести в лог DNS Protocol transport DNS primarily uses the User Datagram Protocol (UDP) on port number 53 to serve requests.[3] DNS queries consist of a single UDP request from the client followed by a single UDP reply from the server. When the length of the answer exceeds 512 bytes and both client and server support EDNS, larger UDP packets are used. Otherwise, the query is sent again using the Transmission Control Protocol (TCP). TCP is also used for tasks such as zone transfers. Some resolver implementations use TCP for all queries. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted December 11, 2018 · Report post А что с /ip dns allow-remote-request? Если включено, попробуйте: /ip dns cache flush /ip dns set allow-remote-request=no Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uraso Posted December 12, 2018 · Report post Если /ip dns set allow-remote-request=no то все записи днс исчезают сответственно.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted December 13, 2018 (edited) · Report post Кто-то обращается к микротику как к dns-серверу с запросами странных имён. Вероятно, это зараженный вирусом комп. Включите логирование dns-запросов - увидите кто именно. Edited December 13, 2018 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Chexov Posted December 15, 2018 (edited) · Report post В 12/13/2018 в 09:43, nkusnetsov сказал: Кто-то обращается к микротику как к dns-серверу с запросами странных имён. Вероятно, это зараженный вирусом комп. Включите логирование dns-запросов - увидите кто именно. Он же пишет, что этот по ему мнению... этот мусор на ccr1009 где много пользователей (500), а на RB2011 где мало пользователей (5) мало этого мусора. Ну и на засыпку, почему где много пользователей там много обращений к dns? Неужто вирусы? Edited December 15, 2018 by Chexov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted December 15, 2018 · Report post @Chexov , дело не в количестве запросов вообще, а в количестве неразрешимых запросов к нечитаемым именам (см.скриншот). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Chexov Posted December 15, 2018 · Report post 4 часа назад, nkusnetsov сказал: @Chexov , дело не в количестве запросов вообще, а в количестве неразрешимых запросов к нечитаемым именам (см.скриншот). Вы посмотрите в крупной компании где стоит ccr1009 или в бизнес центре, там тоже будут 0.0.0.0 присутствовать, это он отсортировал что показывает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uraso Posted December 16, 2018 · Report post Спасибо всем кто откликнулся. Попробую по вашему совету включить логирование dns-запросов . Посмотрим что покажет..... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted December 17, 2018 (edited) · Report post В 16.12.2018 в 02:52, Chexov сказал: Вы посмотрите в крупной компании где стоит ccr1009 или в бизнес центре, там тоже будут 0.0.0.0 присутствовать, это он отсортировал что показывает. Вы посмотрите в столбец "name" и подумайте откуда берутся запросы о таких именах. На корпоративных RB1100AHx4, RB1100AHx2, RB3011 нет такой массовой проблемы. Единичные криво набранные запросы в адресной строке дают единичные записи. На роутере рулящем гостевой сетью появляется при подключении зараженных девайсов. Edited December 17, 2018 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 9, 2019 · Report post Посмотрите не включен ли случаем прокси на микротике, да обновите ПО. Вариант быстро найти кто создает эти запросы - торчем по порту ДНС от абонентов, у кого будет большая активность по трафику - тот и запрашивает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...