Огромный DNS трафик

[Lynx.]

Добрый день. Есть небольшая сеть с доменом на Serv2003. На отдельном компьютере этого домена поставлена ISA. С сервера домена постоянно идут DNS запросы или запросы, определяющиеся ISA, как DNS. По 53 порту. Трафик достигает по ним до 10ГБ в сутки. Вирусов вроде нет, проверял чем только мог. Сами пользователи накачать столько не могут - их мало и у всех стоят квоты

[Maikll]

10 Гб dns? :blush2: это ж сколько запросов должно было пройти...

Гм...есть одна мыслишка, но для начала вопрос: Lynx. а как логи исы соотносятся с логами провайдера, сколько трафика показывает у него, можешь узнать?

[Timba]

Ну как вариант - поставь снифер на контроллер и посмотри, какие запросы он струячит на ISA, можно многое понять. Для винды аналог WireShark называется по-моему Ethereal. Просто надо посмотреть что происходит в сети и проанализировать пакеты. А потом уже принимать адекватно меры.

[Фдуч]

Как вариант можно глянуть настройки DNS-сервера на контролере. Возможно там стоит автотестирование с большой частотой. Если используется рекурсия, то может быть много запросов. Так же можно посмотреть на вкладке "пересылка" куда пересылаются запросы, если сервер не может разрешить имя. Может вообще отключить пересылку и рекурсию? Но тогда надо знать как настроены клиенты (на использование какого DNS-сервера). Может "упасть" доступ в интернет из-за невозможности разрешить имя.

[Lynx.]

Пока проверить не успел, могу ответить только по трафику провайдера. Да, по логам провайдера от нас примерно столько же и вышло

[Maikll]

В таком случае согласен с Timba, желательно установить снифер пакетов.

Кроме того, желательно настроить dns таким образом, чтобы все запросы передавались только на сервер провайдера. В идеале, все клиенты домена обращаются исключительно к dc, адреса своего домена разрешаются самостоятельно, а все прочие запросы переправляются провайдеру (напрямую на его ip или для большей "секьюрности", на шлюз с исой а оттуда портфорвардингом).

Весь прочий трафик по 53 порту на шлюзе необходимо запретить.

В автотестирование с таким объемом трафика я не верю: сами посудите, размер запроса от DNS-сервера по RFC 1035 - 512 байт в максимуме. 10 гигабайт по 53-му порту - это не менее 20 миллионов таких пакетов, в сутки - порядка двух сотен в секунду.

Рекурсия... может давать "левый" трафик, но не с таким объемом, если только этот сервер не указан где-нибудь в качестве корневого, в чем я лично сомневаюсь.

Теоретически есть еще такая вещь, как TCP over DNS, но на практике не приходилось ни разу сталкиваться.

Если честно, больше напоминает неправильную настройку, но информации для точного ответа, от вас, Lynx., маловато. Выкладывайте настройки + ipconfig c сервера и одного из клиентов домена.

[Lynx.]

Снес DNS, поставил по новой. Запросы по 53му порту пропали. Появилась новая напасть. ISой с контролера домена на прокси, где сама ISA и стоит, идет "неизвестный IP-трафик" по порту 2967

[Maikll]

идет "неизвестный IP-трафик" по порту 2967

Гугль говорит: что-то симантековское, кажется обновления. ;)

[Lynx.]

Вроде разрешилось, спасибо. Да, сервер Симантек через этот порт стучится к клиентским антивирусам