On 13/09/16 17:25, Lorenzo Mainardi wrote:

Buongiorno a tutti,
gestisco un paio di server DNS caching per circa 10.000 utenti ADSL.
Da un paio di settimane ho iniziato a monitorare le richieste DNS con ELK e mi sono accorto che circa il 25% di richieste sono richieste di tipo A che richiedono a.root-servers.net <http://a.root-servers.net>. Gli IP provengono da diversi indirizzi, senza una particolare distribuzione.


Si tratta di un'attività anomala o è normale?
Difficile da dirsi con certezza con le informazioni in tuo possesso. Ti rimando ad un thread su dns-operations: https://lists.dns-oarc.net/pipermail/dns-operations/2012-March/008045.html

TL;DR: potrebbero essere degli home router che si comportano in questo modo, o dei sistemi di monitoraggio, oppure qualche tipo di malware.

Se hai delle informazioni piu' precise come la porta sorgente e query-id puoi fare qualche speculazione
Che posso fare? è lecito bloccare sui miei server a.root-servers.net <http://a.root-servers.net>?

Non credo sia una buona idea. Se la tua preoccupazione e' il consumo di banda tieni conto che la risoluzione di a.root-servers.net rimane nella cache dei tuoi resolver per 4 ore.

Ciao
Daniele Duca

Rispondere a