On 13/09/16 17:25, Lorenzo Mainardi wrote:
Buongiorno a tutti,
gestisco un paio di server DNS caching per circa 10.000 utenti ADSL.
Da un paio di settimane ho iniziato a monitorare le richieste DNS con
ELK e mi sono accorto che circa il 25% di richieste sono richieste di
tipo A che richiedono a.root-servers.net <http://a.root-servers.net>.
Gli IP provengono da diversi indirizzi, senza una particolare
distribuzione.
Si tratta di un'attività anomala o è normale?
Difficile da dirsi con certezza con le informazioni in tuo possesso. Ti
rimando ad un thread su dns-operations:
https://lists.dns-oarc.net/pipermail/dns-operations/2012-March/008045.html
TL;DR: potrebbero essere degli home router che si comportano in questo
modo, o dei sistemi di monitoraggio, oppure qualche tipo di malware.
Se hai delle informazioni piu' precise come la porta sorgente e query-id
puoi fare qualche speculazione
Che posso fare? è lecito bloccare sui miei server a.root-servers.net
<http://a.root-servers.net>?
Non credo sia una buona idea. Se la tua preoccupazione e' il consumo di
banda tieni conto che la risoluzione di a.root-servers.net rimane nella
cache dei tuoi resolver per 4 ore.
Ciao
Daniele Duca
