Pedidos de DNS em massa de um programa desconhecido. Como identificar?
Eu executo um servidor dns PiHole, continuo vendo solicitações de dns em massa para o domínio mariadb do meu servidor Ubuntu. Cerca de 50.000 por dia, 3 A e 3 AAAA a cada 10 segundos. Não consigo encontrar uma maneira de identificar o programa que os está enviando. Eu tentei definir a entrada manualmente para um ip inexistente em / etc / hosts e isso interrompeu as solicitações por um tempo, mas depois elas voltaram e ainda não havia como identificar qual programa as estava enviando. Procurando uma maneira de identificar o programa que está fazendo isso. Verifiquei as configurações e parei temporariamente quase todos os programas em que consigo pensar e as solicitações continuaram.
ATUALIZAÇÃO: Essas solicitações de dns estão aparecendo em meu log de consulta de dns em meu pihole e ocasionalmente o sobrecarregando. É por isso que achei o pihole relevante, o pihole está rodando em uma máquina diferente, e esta máquina não está rodando nada a ver com dns, exceto o "resolvedor stub resolvido pelo systemd". Mariadb está sendo executado no servidor em um contêiner docker para bookstack (também dockerized), mysql está sendo executado no servidor (não no docker) para vários sites wordpress, mas não há nenhuma configuração em qualquer um desses serviços que deve estar fazendo com que eles procurem o domínio "mariadb". O PHP7.4.9 é instalado conforme necessário para os sites wordpress.
Respostas
em seu servidor DNS, como rootvocê pode usar tcpdumppara ver o tráfego real e identificar os IPs de origem dos quais você recebe as solicitações. Algo como:
tcpdump -vvnn tcp port 53 or udp port 53
deve mostrar uma grande quantidade de saída, então você pode salvar esta saída em um arquivo e anexar parte dela aqui, se você não puder reconhecer os IPs de origem.