คำขอ DNS จำนวนมากจากโปรแกรมที่ไม่รู้จัก จะระบุได้อย่างไร?
ฉันใช้เซิร์ฟเวอร์ PiHole dns ฉันยังคงเห็นคำขอ dns จำนวนมากสำหรับโดเมน mariadb จากเซิร์ฟเวอร์ Ubuntu ของฉัน ประมาณ 50,000 ต่อวัน 3 A และ 3 AAAA ทุกๆ 10 วินาที ดูเหมือนฉันจะหาวิธีระบุโปรแกรมที่ส่งมาไม่ได้ ฉันได้ลองตั้งค่ารายการด้วยตนเองเป็น ip ที่ไม่อยู่ใน / etc / hosts และหยุดการร้องขอไประยะหนึ่งแล้ว แต่จากนั้นพวกเขาก็กลับมาและยังไม่มีวิธีระบุว่าโปรแกรมใดส่งมา กำลังมองหาวิธีระบุโปรแกรมที่ทำสิ่งนี้ ฉันได้ตรวจสอบการกำหนดค่าและหยุดเกือบทุกโปรแกรมชั่วคราวที่ฉันคิดได้และคำขอยังดำเนินต่อไป
อัปเดต: คำขอ DNS เหล่านี้ปรากฏในบันทึกการสืบค้น DNS ของฉันบน pihole ของฉันและบางครั้งก็โหลดมากเกินไป นี่คือเหตุผลที่ฉันคิดว่า pihole เกี่ยวข้อง pihole กำลังทำงานบนเครื่องอื่นและเครื่องนี้ไม่ได้ทำงานกับ dns ยกเว้น "ตัวแก้ไขต้นขั้วที่ได้รับการแก้ไข systemd" Mariadb กำลังทำงานบนเซิร์ฟเวอร์ในคอนเทนเนอร์นักเทียบท่าสำหรับ bookstack (เทียบท่าด้วย) mysql กำลังทำงานบนเซิร์ฟเวอร์ (ไม่ใช่ในนักเทียบท่า) สำหรับไซต์ wordpress หลายแห่ง แต่ไม่มีการกำหนดค่าในบริการใด ๆ เหล่านี้ที่ควรทำให้พวกเขาค้นหา โดเมน "mariadb" PHP7.4.9 ได้รับการติดตั้งตามความจำเป็นสำหรับไซต์ wordpress
คำตอบ
บนเซิร์ฟเวอร์ DNS ของคุณดังที่rootคุณสามารถใช้tcpdumpเพื่อดูปริมาณการใช้งานจริงและระบุ IP ต้นทางที่คุณได้รับคำขอ สิ่งที่ต้องการ:
tcpdump -vvnn tcp port 53 or udp port 53
ควรแสดงเอาต์พุตจำนวนมากเพื่อให้คุณสามารถบันทึกเอาต์พุตนี้ลงในไฟล์และแนบส่วนหนึ่งของมันที่นี่หากคุณไม่รู้จัก IP ต้นทาง ..