Ich grüße nun nicht noch mal ;-)
> > Nein, nicht dieselbe. Mal A mal MX mal SPF, verteilt über den Tag
> manches ein zweites Mal obwohl, die TTL mehr hergäbe. Bis zu 4x hätte ich
> schreiben sollen, 1 und 2 ist häufiger anzutreffen, über 4 nix und dann
> wieder ab 256 und dann immer A und alles in äußerst kurzer Zeit.
>
> Wie groß ist bei den 1..2 mal die Zeitspanne zwischen Anfragen?
>
0 bis zwei Sekunden, der "normale" Client mit mehr als einer Anfrage fragt im
Querschnitt immer A, MX und SPF ab. Wenn er eins nochmal fragt, dann quasi
immer in einer ganz anderen Minute. Ich denke diese Anfragen sind alle ok.
> Ja. 200+ in 10 Sekunden ist etwas häufig. Vielleicht cacht er nicht. Und
> vielleicht macht er etwas Böses, wofür er die A-Auflösung benötigt. Du
> bist also nur kollaterales Opfer.
>
Klar, ich hab ja nur den NS. Und so richtig tut dem Server das nicht weh (noch
nicht).
> Allerdings. In welche Regionen gehören die Quell-IPs? Gibt es da
> Beziehungen zu der Domain?
>
Hier eine Auswahl von IP und Anzahl der Queries:
112.90.21.68 : 275
112.91.169.174 : 303
112.91.173.65 : 239
113.105.157.160 : 307
113.107.174.68 : 291
113.107.95.21 : 215
115.239.226.215 : 283
115.239.229.222 : 299
117.25.149.233 : 222
117.41.243.247 : 250
119.147.138.174 : 283
119.147.139.191 : 303
119.147.154.144 : 270
121.10.107.104 : 220
121.10.112.225 : 1449
121.10.127.146 : 297
121.10.172.60 : 300
121.1.121.200 : 215
121.12.104.150 : 281
121.12.109.129 : 675
121.12.109.234 : 836
121.12.110.71 : 3104
121.12.122.76 : 573
121.12.123.230 : 260
121.14.151.52 : 289
121.14.151.75 : 264
121.14.153.77 : 248
121.9.226.7 : 305
...
221.4.162.237 : 289
221.4.162.246 : 610
221.4.162.251 : 283
59.34.197.135 : 886
59.34.197.137 : 277
59.34.197.151 : 1075
59.39.69.216 : 304
59.39.69.223 : 306
59.53.68.22 : 266
60.190.216.137 : 760
Stichproben (dig -x, traceroute) führen alle nach China. Konkurrenzmarkt für
den Inhaber der betreffenden Domain, stärker als in anderen Teilen der Welt.
> > > hashlimit in den Iptables könnte Dein Freund werden.
> > Das schaue ich mir mal an.
>
> Wenn sich die IPs ändern, ist das aber auch etwas sportlich…
>
Meinst Du, das geht doch für mich als Regelschreiber ganz ohne die Quell-IP:
$FW -A INPUT -i $OUT_IF -s 0.0.0.0/0 -d $OUT_IP -p tcp -m state --state NEW
--sport 1024:65535 --dport 53 -m hashlimit --hashlimit 3/second
--hashlimit-mode srcip,dstport --hashlimit-name dns -j ACCEPT
$FW -A INPUT -i $OUT_IF -s 0.0.0.0/0 -d $OUT_IP -p udp -m state --state NEW
--sport 1024:65535 --dport 53 -m hashlimit --hashlimit 3/second
--hashlimit-mode srcip,dstport --hashlimit-name dns -j ACCEPT
Und es funktioniert sogar, wie ich in /proc/net/ip_hashlimit/dns und mit einem
Testclient herausfand ;-)
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
--
Ronny Seffner | Alter Viehweg 1 | 01665 Triebischtal
www.seffner.de | ro...@seffner.de | +49 35245 72950
_______________________________________________
Lug-dd maillist - Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd
