uraso Опубликовано 6 декабря, 2018 (изменено) · Жалоба Привет всем!!!! Просматривая свои микротики, обратил внимание на Dns кеш, который явно увеличился. Вначале шли какие то непонятные направления. Классический скрипт в ip firewall filter rules установлен и поднят вверх /ip firewall filter add action=drop chain=input comment="BLOCK input 53 port" dst-port=53 in-interface=wan protocol=udp После очистки кеша этот мусор опять появляется через некоторое время.... Что это может быть??? В качестве DNІ использую первым IP провайдера. Вторым 8.8.8.8. Изменено 6 декабря, 2018 пользователем uraso Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 6 декабря, 2018 (изменено) · Жалоба Здравствуйте! Выдерните шнур из wan и посмотрите вокруг будет мусор снова, отпишитесь. P.S. Как вы вообще оказались около ccr1009? Изменено 6 декабря, 2018 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uraso Опубликовано 9 декабря, 2018 · Жалоба Ну вытянуть шнур из WAN ccr1009 я пока не могу... Он за 15км... И работает все нормально 2 года. Я просто обратил внимание на большое количество именно непонятных обращений в ДНС.... Возможно это зараженные компьютеры дают непонятные запросы .... Если вы знаете причину этого то объясните ... Может это нормальное явление для сети с большим количеством пользователей? Раньше просто на ето не обращал внимания. Я заходил удаленно в другие микротики . На домашних RB этого мусора очень мало... Ну а кто с какой железкой где оказался давайте не выяснять.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 10 декабря, 2018 · Жалоба В 12/9/2018 в 11:55, uraso сказал: Ну вытянуть шнур из WAN ccr1009 я пока не могу... Он за 15км... И работает все нормально 2 года. Я просто обратил внимание на большое количество именно непонятных обращений в ДНС.... Возможно это зараженные компьютеры дают непонятные запросы .... Если вы знаете причину этого то объясните ... Может это нормальное явление для сети с большим количеством пользователей? Раньше просто на ето не обращал внимания. Я заходил удаленно в другие микротики . На домашних RB этого мусора очень мало... Ну а кто с какой железкой где оказался давайте не выяснять.... Да же не знаю как вам ответить, чтоб не обиделись... может это поможет https://www.lifewire.com/what-is-a-dns-cache-817514 И все же надо знать что такое Cache и DNS Cache раз вы рядом с ccr1009 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 11 декабря, 2018 · Жалоба В 12/6/2018 в 13:53, uraso сказал: add action=drop chain=input comment="BLOCK input 53 port" dst-port=53 in-interface=wan protocol=udp А как же TCP? Добавьте такое же правило с TCP и посмотрите счетчик, можно также вывести в лог DNS Protocol transport DNS primarily uses the User Datagram Protocol (UDP) on port number 53 to serve requests.[3] DNS queries consist of a single UDP request from the client followed by a single UDP reply from the server. When the length of the answer exceeds 512 bytes and both client and server support EDNS, larger UDP packets are used. Otherwise, the query is sent again using the Transmission Control Protocol (TCP). TCP is also used for tasks such as zone transfers. Some resolver implementations use TCP for all queries. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 11 декабря, 2018 · Жалоба А что с /ip dns allow-remote-request? Если включено, попробуйте: /ip dns cache flush /ip dns set allow-remote-request=no Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uraso Опубликовано 12 декабря, 2018 · Жалоба Если /ip dns set allow-remote-request=no то все записи днс исчезают сответственно.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 13 декабря, 2018 (изменено) · Жалоба Кто-то обращается к микротику как к dns-серверу с запросами странных имён. Вероятно, это зараженный вирусом комп. Включите логирование dns-запросов - увидите кто именно. Изменено 13 декабря, 2018 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 15 декабря, 2018 (изменено) · Жалоба В 12/13/2018 в 09:43, nkusnetsov сказал: Кто-то обращается к микротику как к dns-серверу с запросами странных имён. Вероятно, это зараженный вирусом комп. Включите логирование dns-запросов - увидите кто именно. Он же пишет, что этот по ему мнению... этот мусор на ccr1009 где много пользователей (500), а на RB2011 где мало пользователей (5) мало этого мусора. Ну и на засыпку, почему где много пользователей там много обращений к dns? Неужто вирусы? Изменено 15 декабря, 2018 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 15 декабря, 2018 · Жалоба @Chexov , дело не в количестве запросов вообще, а в количестве неразрешимых запросов к нечитаемым именам (см.скриншот). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 15 декабря, 2018 · Жалоба 4 часа назад, nkusnetsov сказал: @Chexov , дело не в количестве запросов вообще, а в количестве неразрешимых запросов к нечитаемым именам (см.скриншот). Вы посмотрите в крупной компании где стоит ccr1009 или в бизнес центре, там тоже будут 0.0.0.0 присутствовать, это он отсортировал что показывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uraso Опубликовано 16 декабря, 2018 · Жалоба Спасибо всем кто откликнулся. Попробую по вашему совету включить логирование dns-запросов . Посмотрим что покажет..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 17 декабря, 2018 (изменено) · Жалоба В 16.12.2018 в 02:52, Chexov сказал: Вы посмотрите в крупной компании где стоит ccr1009 или в бизнес центре, там тоже будут 0.0.0.0 присутствовать, это он отсортировал что показывает. Вы посмотрите в столбец "name" и подумайте откуда берутся запросы о таких именах. На корпоративных RB1100AHx4, RB1100AHx2, RB3011 нет такой массовой проблемы. Единичные криво набранные запросы в адресной строке дают единичные записи. На роутере рулящем гостевой сетью появляется при подключении зараженных девайсов. Изменено 17 декабря, 2018 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2019 · Жалоба Посмотрите не включен ли случаем прокси на микротике, да обновите ПО. Вариант быстро найти кто создает эти запросы - торчем по порту ДНС от абонентов, у кого будет большая активность по трафику - тот и запрашивает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...