Requêtes DNS en masse provenant d'un programme inconnu. Comment identifier ?
J'exécute un serveur DNS PiHole, je continue de voir des demandes DNS de masse pour le domaine mariadb à partir de mon serveur Ubuntu. Environ 50 000 par jour, 3 A et 3 AAAA toutes les 10 secondes. Je n'arrive pas à trouver un moyen d'identifier le programme qui les envoie. J'ai essayé de définir manuellement l'entrée sur une adresse IP inexistante dans /etc/hosts et cela a arrêté les demandes pendant un certain temps, mais elles sont ensuite revenues et il n'y avait toujours aucun moyen d'identifier quel programme les envoyait. Vous cherchez un moyen d'identifier le programme qui fait cela. J'ai vérifié les configurations et arrêté temporairement presque tous les programmes auxquels je peux penser et les demandes ont continué.
MISE À JOUR : Ces requêtes DNS s'affichent dans mon journal de requêtes DNS sur mon pihole et le surchargent parfois. C'est pourquoi j'ai pensé que pihole était pertinent, pihole s'exécute sur une machine différente et cette machine n'exécute rien à voir avec DNS, à l'exception du "résolveur de stub résolu par systemd". Mariadb s'exécute sur le serveur dans un conteneur docker pour bookstack (également dockerisé), mysql s'exécute sur le serveur (pas dans docker) pour plusieurs sites wordpress mais il n'y a aucune configuration dans aucun de ces services qui devrait les amener à rechercher le domaine "mariadb". PHP7.4.9 est installé comme requis pour les sites wordpress.
Réponses
sur votre serveur DNS, car root
vous pouvez l'utiliser tcpdump
pour voir le trafic réel et identifier les adresses IP sources à partir desquelles vous recevez les requêtes. Quelque chose comme:
tcpdump -vvnn tcp port 53 or udp port 53
devrait afficher une grande quantité de sortie, vous pouvez donc enregistrer cette sortie dans un fichier et en joindre une partie ici, si vous ne pouvez pas reconnaître les adresses IP source.