[uraso]

Привет всем!!!!

Просматривая свои  микротики,  обратил внимание  на  Dns кеш, который  явно увеличился.  Вначале шли какие то непонятные направления.

Классический скрипт в ip firewall  filter rules  установлен и поднят  вверх

/ip firewall filter
add action=drop chain=input comment="BLOCK input 53 port" dst-port=53 in-interface=wan protocol=udp

 

После очистки кеша этот мусор опять появляется  через некоторое время....

Что это может быть???

В качестве DNІ использую первым  IP провайдера. Вторым 8.8.8.8.

 

 

 

 

Изменено 6 декабря, 2018 пользователем uraso

[Chexov]

Здравствуйте!

Выдерните шнур из wan и посмотрите вокруг будет мусор снова, отпишитесь.

 

P.S.

Как вы вообще оказались около ccr1009?

 

Изменено 6 декабря, 2018 пользователем Chexov

[uraso]

Ну вытянуть шнур из WAN   ccr1009   я пока  не могу... Он за 15км...

И работает все нормально 2 года.

Я  просто обратил внимание на большое количество именно непонятных обращений в ДНС.... 

Возможно это зараженные компьютеры  дают  непонятные запросы ....

Если вы знаете причину этого то объясните ... Может это  нормальное явление  для сети с большим  количеством пользователей?

Раньше просто на ето не обращал  внимания.

Я заходил  удаленно в другие микротики .  На домашних RB 

этого мусора очень мало...

Ну а кто  с какой железкой где оказался давайте не выяснять....

 

[Chexov]

В 12/9/2018 в 11:55, uraso сказал:

Ну вытянуть шнур из WAN   ccr1009   я пока  не могу... Он за 15км...

И работает все нормально 2 года.

Я  просто обратил внимание на большое количество именно непонятных обращений в ДНС.... 

Возможно это зараженные компьютеры  дают  непонятные запросы ....

Если вы знаете причину этого то объясните ... Может это  нормальное явление  для сети с большим  количеством пользователей?

Раньше просто на ето не обращал  внимания.

Я заходил  удаленно в другие микротики .  На домашних RB 

этого мусора очень мало...

Ну а кто  с какой железкой где оказался давайте не выяснять....

 

 

Да же не знаю как вам ответить, чтоб не обиделись... может это поможет https://www.lifewire.com/what-is-a-dns-cache-817514

И все же надо знать что такое Cache и DNS Cache раз вы рядом с ccr1009

 

 

[maxkst]

В 12/6/2018 в 13:53, uraso сказал:

add action=drop chain=input comment="BLOCK input 53 port" dst-port=53 in-interface=wan protocol=udp

А как же TCP? 

Добавьте такое же правило с TCP и посмотрите счетчик, можно также вывести в лог

 

DNS Protocol transport
DNS primarily uses the User Datagram Protocol (UDP) on port number 53 to serve requests.[3] DNS queries consist of a single UDP request from the client followed by a single UDP reply from the server. When the length of the answer exceeds 512 bytes and both client and server support EDNS, larger UDP packets are used. Otherwise, the query is sent again using the Transmission Control Protocol (TCP). TCP is also used for tasks such as zone transfers. Some resolver implementations use TCP for all queries.

[DAF]

А что с /ip dns allow-remote-request?

Если включено, попробуйте:

 

/ip dns cache flush

/ip dns set allow-remote-request=no

 

 

[uraso]

Если /ip dns set allow-remote-request=no    то все записи днс исчезают сответственно.... 

[nkusnetsov]

Кто-то обращается к микротику как к dns-серверу с запросами  странных имён. Вероятно, это зараженный вирусом комп. Включите логирование dns-запросов - увидите кто именно.

Изменено 13 декабря, 2018 пользователем nkusnetsov

[Chexov]

В 12/13/2018 в 09:43, nkusnetsov сказал:

Кто-то обращается к микротику как к dns-серверу с запросами  странных имён. Вероятно, это зараженный вирусом комп. Включите логирование dns-запросов - увидите кто именно.

 

Он же пишет, что этот по ему мнению... этот мусор на ccr1009  где много пользователей (500), а на RB2011 где мало пользователей (5) мало этого мусора.

 

Ну и на засыпку, почему где много пользователей там много обращений к dns? Неужто вирусы?

 

Изменено 15 декабря, 2018 пользователем Chexov

[nkusnetsov]

@Chexov , дело не в количестве запросов вообще, а в количестве неразрешимых запросов к нечитаемым именам (см.скриншот).

[Chexov]

4 часа назад, nkusnetsov сказал:

@Chexov , дело не в количестве запросов вообще, а в количестве неразрешимых запросов к нечитаемым именам (см.скриншот).

Вы посмотрите в крупной компании где стоит ccr1009  или в бизнес центре, там тоже будут 0.0.0.0 присутствовать, это он отсортировал что показывает.

[uraso]

Спасибо всем кто откликнулся.

Попробую по вашему совету включить логирование dns-запросов .

Посмотрим что покажет.....

[nkusnetsov]

В 16.12.2018 в 02:52, Chexov сказал:

Вы посмотрите в крупной компании где стоит ccr1009  или в бизнес центре, там тоже будут 0.0.0.0 присутствовать, это он отсортировал что показывает.

Вы посмотрите в столбец "name" и подумайте откуда берутся запросы о таких именах.
На корпоративных  RB1100AHx4, RB1100AHx2, RB3011 нет такой массовой проблемы. Единичные криво набранные запросы в адресной строке дают единичные записи.
На роутере рулящем гостевой сетью появляется при подключении зараженных девайсов.

Изменено 17 декабря, 2018 пользователем nkusnetsov

[Saab95]

Посмотрите не включен ли случаем прокси на микротике, да обновите ПО.

Вариант быстро найти кто создает эти запросы - торчем по порту ДНС от абонентов, у кого будет большая активность по трафику - тот и запрашивает.