Il giorno 15 settembre 2016 11:26, Daniele Duca <dr...@area.trieste.it> ha
scritto:

> Difficile da dirsi con certezza con le informazioni in tuo possesso. Ti
> rimando ad un thread su dns-operations: https://lists.dns-oarc.net/
> pipermail/dns-operations/2012-March/008045.html
>
Grazie mille per la segnalazione della ML. Non la conoscevo e mi iscrivo
subito, le tematiche sono molto interessanti e utili per chi deve gestire
dei DNS.



> TL;DR: potrebbero essere degli home router che si comportano in questo
> modo, o dei sistemi di monitoraggio, oppure qualche tipo di malware.
>
> Se hai delle informazioni piu' precise come la porta sorgente e query-id
> puoi fare qualche speculazione
>


Purtroppo non ho la porta sorgente come informazione e neanche il query ID,
proverò a chiedere nella mailing list di unbound se è possibile loggare
anche questi parametri. Altrimenti, proverò a scriptare l'output di tcpdump
per estrarre questi dati. Dal MAC address del router posso anche ricavarne
con buona approssimazione la marca e quindi capire se si tratta di un
attacco o di un monitoraggio.



> Che posso fare? è lecito bloccare sui miei server a.root-servers.net?
>
> Non credo sia una buona idea. Se la tua preoccupazione e' il consumo di
> banda tieni conto che la risoluzione di a.root-servers.net rimane nella
> cache dei tuoi resolver per 4 ore.
>

Il consumo di banda mi preoccupa relativamente, come dicevi te una volta
messo in cache non è necessario richiederlo.
La mia paura era quella di essere parte di un DDoS amplification attack o
simili verso i root server.


-- 
LORENZO MAINARDI
http://blog.mainardi.me

Rispondere a