LINUX.ORG.RU
ФорумAdmin

Постоянно идут запросы на dns.yandex.ru

 , ,


0

1

Добрый день.

Есть VPS, на нём поднят OpenVPN. Tshark показывает, что идут постоянные запросы на dns.yandex.ru. В данный момент подключенных клиентов к openVPN нет. Как посмотреть, что может порождать эти запросы?

Ответ на: комментарий от megadiff

Странно, почему при указанных DNS яндекса идут запросы на DNS яндекса? О_О

WereFox ★☆ ()

запросы идут постоянно, несколько раз в секунду

megadiff ()
valkeru@valkeru-job:~ [0 ✓] $ dig -x 77.88.8.8 +short
dns.yandex.ru.
valkeru@valkeru-job:~ [0 ✓] $ dig -x 77.88.8.1 +short
secondary.dns.yandex.ru.
valkeru@valkeru-job:~ [0 ✓] $
WereFox ★☆ ()
Ответ на: комментарий от Serge10

запросы идут постоянно, несколько раз в секунду

Ok, какие именно запросы?

Serge10 ★★★★★ ()
Ответ на: комментарий от WereFox

Ну, это, наверное, очень неожиданное поведение.

Вообще-то, если на VPS ничего не запущено, действительно неожиданное. Надо смотреть, что там в запросах...

Serge10 ★★★★★ ()
Ответ на: комментарий от Serge10

Вот, например, такие:

    1 0.000000000 95.46.114.82 → 77.88.8.8    DNS 73 Standard query 0x4403 A dns.yandex.ru
    2 0.000022301 MY_IP_ADDR → 77.88.8.8    DNS 73 Standard query 0x24c1 AAAA dns.yandex.ru
    3 0.006723018    77.88.8.8 → MY_IP_ADDR DNS 89 Standard query response 0x4403 A dns.yandex.ru A 77.88.8.8
    4 0.007474751    77.88.8.8 → MY_IP_ADDR DNS 101 Standard query response 0x24c1 AAAA dns.yandex.ru AAAA 2a02:6b8::feed:ff
    5 0.134783676    77.88.8.8 → MY_IP_ADDR DNS 131 Standard query response 0x62f3 PTR 186.156.222.41.in-addr.arpa PTR 41-222-156-186.rev.infogro.net
    6 0.135338512 MY_IP_ADDR → 77.88.8.8    DNS 84 Standard query 0x6453 PTR 43.13.2.197.in-addr.arpa
    7 0.384280196 MY_IP_ADDR → 77.88.8.8    DNS 86 Standard query 0xbad8 PTR 52.142.230.61.in-addr.arpa
    8 0.667121803    77.88.8.8 → MY_IP_ADDR DNS 141 Standard query response 0x6453 No such name PTR 43.13.2.197.in-addr.arpa SOA ns4.ati.tn
    9 0.667343813 MY_IP_ADDR → 77.88.8.8    DNS 83 Standard query 0xeacf PTR 32.7.87.95.in-addr.arpa
   10 1.007352791    77.88.8.8 → MY_IP_ADDR DNS 134 Standard query response 0xbad8 PTR 52.142.230.61.in-addr.arpa PTR 61-230-142-52.dynamic-ip.hinet.net
   11 1.007607724 MY_IP_ADDR → 77.88.8.8    DNS 86 Standard query 0xb47c PTR 16.230.140.94.in-addr.arpa
   12 1.013509913    77.88.8.8 → MY_IP_ADDR DNS 125 Standard query response 0xeacf PTR 32.7.87.95.in-addr.arpa PTR ip-95-87-7-32.trakiacable.bg
   13 1.013647485 MY_IP_ADDR → 77.88.8.8    DNS 85 Standard query 0xd4ca PTR 50.56.16.113.in-addr.arpa
   14 1.046071954    77.88.8.8 → MY_IP_ADDR DNS 174 Standard query response 0xd4ca No such name PTR 50.56.16.113.in-addr.arpa SOA ns1.apnic.net
   15 1.046276710 MY_IP_ADDR → 77.88.8.8    DNS 88 Standard query 0xde6b PTR 228.244.167.121.in-addr.arpa
   16 1.080422538    77.88.8.8 → MY_IP_ADDR DNS 144 Standard query response 0xb47c No such name PTR 16.230.140.94.in-addr.arpa SOA ns.citylink-rk.ru
   17 1.080613835 MY_IP_ADDR → 77.88.8.8    DNS 87 Standard query 0x2057 PTR 47.255.250.218.in-addr.arpa
   18 1.379517059    77.88.8.8 → MY_IP_ADDR DNS 129 Standard query response 0x2057 PTR 47.255.250.218.in-addr.arpa PTR n218250255047.netvigator.com
   19 1.379823772 MY_IP_ADDR → 77.88.8.8    DNS 84 Standard query 0xeecd PTR 85.1.229.37.in-addr.arpa
   20 1.488026863    77.88.8.8 → MY_IP_ADDR DNS 132 Standard query response 0xeecd PTR 85.1.229.37.in-addr.arpa PTR 37-229-1-85.broadband.kyivstar.net
   21 1.488283802 MY_IP_ADDR → 77.88.8.8    DNS 87 Standard query 0xdc9a PTR 143.42.187.188.in-addr.arpa
   22 1.673582498    77.88.8.8 → MY_IP_ADDR DNS 140 Standard query response 0xdc9a PTR 143.42.187.188.in-addr.arpa PTR 188x187x42x143.dynamic.spb.ertelecom.ru
   23 1.673774511 MY_IP_ADDR → 77.88.8.8    DNS 88 Standard query 0x9420 PTR 195.214.155.221.in-addr.arpa
   24 1.691554297    77.88.8.8 → MY_IP_ADDR DNS 144 Standard query response 0xde6b No such name PTR 228.244.167.121.in-addr.arpa SOA 244.167.121.in-addr.arpa
   25 1.691763629 MY_IP_ADDR → 77.88.8.8    DNS 87 Standard query 0x7822 PTR 224.212.39.114.in-addr.arpa
   26 2.318866515    77.88.8.8 → MY_IP_ADDR DNS 136 Standard query response 0x7822 PTR 224.212.39.114.in-addr.arpa PTR 114-39-212-224.dynamic-ip.hinet.net
   27 2.319079664 MY_IP_ADDR → 77.88.8.8    DNS 87 Standard query 0x5ecc PTR 240.35.194.115.in-addr.arpa
   28 2.319211659    77.88.8.8 → MY_IP_ADDR DNS 146 Standard query response 0x9420 No such name PTR 195.214.155.221.in-addr.arpa SOA rev1.kornet.net
   29 2.319291647 MY_IP_ADDR → 77.88.8.8    DNS 87 Standard query 0xb498 PTR 201.157.87.213.in-addr.arpa
   30 2.329390868    77.88.8.8 → MY_IP_ADDR DNS 114 Standard query response 0xb498 PTR 201.157.87.213.in-addr.arpa PTR 201.mtsnet.ru
   31 2.329523793 MY_IP_ADDR → 77.88.8.8    DNS 88 Standard query 0x184f PTR 171.157.230.190.in-addr.arpa
megadiff ()
sudo tcpdump -i <interface> -s0 -vvv "not port 22"
sudo ss -pluton

в помощь

Aber ★★★★★ ()
Ответ на: комментарий от megadiff

Т. е. все запросы исключительно по преобразованию IP-адреса в домен? А набор IP-адресов в этих запросах случайный, или повторяется? Если одновременно netstat запустить, никаких соединений с этими IP-адресами не устанавливается?

А то, может, к Вам на VPS из ботнетов ломятся на 22 порт, например, вот и идут запросы... В логах чисто все?

Serge10 ★★★★★ ()
Ответ на: комментарий от Serge10

Все верно. Это к ТС в гости ходят.
А уж кто из демонов спрашивает резолв... ТС разбирайтесь что у вас там запущено и открыто.

anc ★★★★★ ()

Ну тут лор безсилен. Тут только попа нужно привлекать.

xaTa ★★★ ()

гасите приложения поочередно

vaddd ★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.