Salve, ci sono diverse marche di home routers (e.g. TPLINK) che mandano una query a a.root-servers.net ogni tot second (e.g. ogni 30 secondi) per verificare la connettività.
Per essere sicuro che sia questo il caso, logga qualche richiesta. Apparentemente i TPLINK fanno sempre una richiesta per "1234". Non so se altre marche fanno cose simili. Cordiali saluti 2016-09-15 11:26 GMT+02:00 Daniele Duca <dr...@area.trieste.it>: > On 13/09/16 17:25, Lorenzo Mainardi wrote: > > Buongiorno a tutti, > gestisco un paio di server DNS caching per circa 10.000 utenti ADSL. > Da un paio di settimane ho iniziato a monitorare le richieste DNS con ELK e > mi sono accorto che circa il 25% di richieste sono richieste di tipo A che > richiedono a.root-servers.net. Gli IP provengono da diversi indirizzi, senza > una particolare distribuzione. > > Si tratta di un'attività anomala o è normale? > > Difficile da dirsi con certezza con le informazioni in tuo possesso. Ti > rimando ad un thread su dns-operations: > https://lists.dns-oarc.net/pipermail/dns-operations/2012-March/008045.html > > TL;DR: potrebbero essere degli home router che si comportano in questo modo, > o dei sistemi di monitoraggio, oppure qualche tipo di malware. > > Se hai delle informazioni piu' precise come la porta sorgente e query-id > puoi fare qualche speculazione > > Che posso fare? è lecito bloccare sui miei server a.root-servers.net? > > Non credo sia una buona idea. Se la tua preoccupazione e' il consumo di > banda tieni conto che la risoluzione di a.root-servers.net rimane nella > cache dei tuoi resolver per 4 ore. > > Ciao > Daniele Duca -- Marco Ermini CISSP, CISA, CISM, CEH, ITIL, PhD http://www.linkedin.com/in/marcoermini ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
