Hohe Anzahl von DNS Requests

Mardor

Well-Known Member
Hallo,

nachdem ich einen weiteren FreeBSD Server (10.1) bei Hetzner eingerichtet habe sehe ich pro Sekunde einen DNS Request von FreeBSD welche immer und immer wieder nach dem FQDN meines Clients (mein entfernter Rechner (public IP) mit dem ich mich eingeloggt habe) fragt.

Wie kann ich denn hier rausbekommen welches Tool hier so wissenbegierig ist.

Code:
13:37:58.554664 IP (tos 0x0, ttl 64, id 14247, offset 0, flags [none], proto UDP (17), length 71, bad cksum 0 (->b181)!)
    aa.bb.cc.32600 > xx.yy.zz.53: [udp sum ok] 54994+ PTR? 102.75.10.91.in-addr.arpa. (43)
        0x0000:  0026 8875 be08 001c 1401 15de 0800 4500  .&.u..........E.
        0x0010:  0047 37a7 0000 4011 0000 4e2f 0b67 d585  .G7...@...N/.g..
        0x0020:  6262 7f58 0035 0033 fb8f d6d2 0100 0001  bb.X.5.3........
        0x0030:  0000 0000 0000 0331 3032 0237 3502 3130  .......102.75.10
        0x0040:  0239 3107 696e 2d61 6464 7204 6172 7061  .91.in-addr.arpa
        0x0050:  0000 0c00 01                             .....
13:37:58.557705 IP (tos 0x0, ttl 59, id 57380, offset 0, flags [none], proto UDP (17), length 114)
    xx.yy.zz.53 > aa.bb.cc.32600: [udp sum ok] 54994 q: PTR? 102.75.10.91.in-addr.arpa. 1/0/0 102.75.10.91.in-addr.arpa. [17h46m44s] PTR p9B0A6J99.dip0.t-ipconnect.de. (86)
        0x0000:  001c 1401 15de 0026 8875 be08 0800 4500  .......&.u....E.
        0x0010:  0072 e024 0000 3b11 0dd9 d585 6262 4e2f  .r.$..;.....bbN/
        0x0020:  0b67 0035 7f58 005e aa99 d6d2 8180 0001  .g.5.X.^........
        0x0030:  0001 0000 0000 0331 3032 0237 3502 3130  .......102.75.10
        0x0040:  0239 3107 696e 2d61 6464 7204 6172 7061  .91.in-addr.arpa
        0x0050:  0000 0c00 01c0 0c00 0c00 0100 00fa 0400  ................
        0x0060:  1f09 7035 4230 4134 4236 3604 6469 7030  ..p6B0A6J99.dip0
        0x0070:  0b74 2d69 7063 6f6e 6e65 6374 0264 6500  .t-ipconnect.de.

Gruß Mardor
 
Hoi,

vermutlich loggst Dich mit ssh ein und hast in sshd_config en UseDNS yes stehen.

Gruß Bummibär
 
Ich gehe auch davon aus, dass das von SSH kommt.

Der Befehl, der Verbindungen und Prozesse zuordnet ist dieser:


lsof -i @a.b.c.d:53


wobei a.b.c.d fqdn oder IP deines names servers ist und die -i option mehrfach angegeben werden kann für mehrere dns server.
 
Hallo Bummibaer und rmoe,

leider hat auch das Abschaltung von UseDNS und der Neustart von SSH nichts gebracht. lsof ist aktuell als IGNORE markiert und ich würde die Kernel Sources benötigen.

Gruß Mardor
 
Also, ich habe grade mal auf einem VPS mit FreeBSD 10.1 (10.1-p5) geschaut. Ich kann lsof bauen, installieren und benutzen. (Und das OS wurde ganz langweilig normal installiert).

Das Problem ist, dass es ja so etliche nützliche tools gibt (z.B. iftop, ngrep) aber mKn nur sockstat und lsof den dazugehörenden Prozess ausspucken.

Nur am Rande: Du hast dran gedacht tcpdump mit '-n' aufzurufen, ja?
 
Danke für deinen Tipp, ich habe den Fehler gefunden.

Ich hatte in einer tmux session ein sockstat -4l laufen und der hatte die Anfragen ausgeführt. Ein sockstat -4ln hat das Problem beseitigt.
Vielen Vielen Dank.

Gruß Mardor
 
Zurück
Oben