不明なプログラムからの大量のDNS要求。識別する方法は?

Aug 15 2020

PiHole dnsサーバーを実行していますが、Ubuntuサーバーからドメインmariadbに対する大量のdnsリクエストが引き続き表示されます。1日約50,000、10秒ごとに3Aおよび3AAAA。それらを送信しているプログラムを特定する方法が見つからないようです。エントリを/ etc / hostsの存在しないIPに手動で設定しようとしましたが、しばらくの間リクエストが停止しましたが、その後戻ってきて、どのプログラムがそれらを送信しているかを特定する方法がありませんでした。これを行っているプログラムを特定する方法を探しています。設定を確認し、考えられるほぼすべてのプログラムを一時的に停止しましたが、リクエストは続行されました。

更新:これらのDNS要求は、私のpiholeのDNSクエリログに表示され、ときどき過負荷になります。これが、piholeが関連していると思った理由です。piholeは別のマシンで実行されており、このマシンは「systemd-resolvedスタブリゾルバー」以外はDNSとは何の関係もありません。Mariadbはbookstack(dockerized)のdockerコンテナー内のサーバーで実行されており、mysqlはいくつかのwordpressサイトのサーバー(dockerではない)で実行されていますが、これらのサービスのいずれにも構成がないため、 「mariadb」ドメイン。PHP7.4.9は、ワードプレスサイトの必要に応じてインストールされます。

回答

Ron Aug 16 2020 at 02:16

DNSサーバー上で、実際のトラフィックを確認し、リクエストの受信元のソースIPを特定するためにroot使用できtcpdumpます。何かのようなもの:

tcpdump -vvnn tcp port 53 or udp port 53

大量の出力が表示されるはずなので、ソースIPを認識できない場合は、この出力をファイルに保存し、その一部をここに添付できます。