Il giorno 15 settembre 2016 11:26, Daniele Duca <[email protected]> ha scritto:
> Difficile da dirsi con certezza con le informazioni in tuo possesso. Ti > rimando ad un thread su dns-operations: https://lists.dns-oarc.net/ > pipermail/dns-operations/2012-March/008045.html > Grazie mille per la segnalazione della ML. Non la conoscevo e mi iscrivo subito, le tematiche sono molto interessanti e utili per chi deve gestire dei DNS. > TL;DR: potrebbero essere degli home router che si comportano in questo > modo, o dei sistemi di monitoraggio, oppure qualche tipo di malware. > > Se hai delle informazioni piu' precise come la porta sorgente e query-id > puoi fare qualche speculazione > Purtroppo non ho la porta sorgente come informazione e neanche il query ID, proverò a chiedere nella mailing list di unbound se è possibile loggare anche questi parametri. Altrimenti, proverò a scriptare l'output di tcpdump per estrarre questi dati. Dal MAC address del router posso anche ricavarne con buona approssimazione la marca e quindi capire se si tratta di un attacco o di un monitoraggio. > Che posso fare? è lecito bloccare sui miei server a.root-servers.net? > > Non credo sia una buona idea. Se la tua preoccupazione e' il consumo di > banda tieni conto che la risoluzione di a.root-servers.net rimane nella > cache dei tuoi resolver per 4 ore. > Il consumo di banda mi preoccupa relativamente, come dicevi te una volta messo in cache non è necessario richiederlo. La mia paura era quella di essere parte di un DDoS amplification attack o simili verso i root server. -- LORENZO MAINARDI http://blog.mainardi.me
