Jump to content
СофтФорум - всё о компьютерах и не только

Огромный DNS трафик


Lynx.
 Share

Recommended Posts

Добрый день. Есть небольшая сеть с доменом на Serv2003. На отдельном компьютере этого домена поставлена ISA. С сервера домена постоянно идут DNS запросы или запросы, определяющиеся ISA, как DNS. По 53 порту. Трафик достигает по ним до 10ГБ в сутки. Вирусов вроде нет, проверял чем только мог. Сами пользователи накачать столько не могут - их мало и у всех стоят квоты

Link to comment
Share on other sites

10 Гб dns? :blush2: это ж сколько запросов должно было пройти...

Гм...есть одна мыслишка, но для начала вопрос: Lynx. а как логи исы соотносятся с логами провайдера, сколько трафика показывает у него, можешь узнать?

Link to comment
Share on other sites

Ну как вариант - поставь снифер на контроллер и посмотри, какие запросы он струячит на ISA, можно многое понять. Для винды аналог WireShark называется по-моему Ethereal. Просто надо посмотреть что происходит в сети и проанализировать пакеты. А потом уже принимать адекватно меры.

Link to comment
Share on other sites

Как вариант можно глянуть настройки DNS-сервера на контролере. Возможно там стоит автотестирование с большой частотой. Если используется рекурсия, то может быть много запросов. Так же можно посмотреть на вкладке "пересылка" куда пересылаются запросы, если сервер не может разрешить имя. Может вообще отключить пересылку и рекурсию? Но тогда надо знать как настроены клиенты (на использование какого DNS-сервера). Может "упасть" доступ в интернет из-за невозможности разрешить имя.

Link to comment
Share on other sites

Пока проверить не успел, могу ответить только по трафику провайдера. Да, по логам провайдера от нас примерно столько же и вышло

Link to comment
Share on other sites

В таком случае согласен с Timba, желательно установить снифер пакетов.

Кроме того, желательно настроить dns таким образом, чтобы все запросы передавались только на сервер провайдера. В идеале, все клиенты домена обращаются исключительно к dc, адреса своего домена разрешаются самостоятельно, а все прочие запросы переправляются провайдеру (напрямую на его ip или для большей "секьюрности", на шлюз с исой а оттуда портфорвардингом).

Весь прочий трафик по 53 порту на шлюзе необходимо запретить.

В автотестирование с таким объемом трафика я не верю: сами посудите, размер запроса от DNS-сервера по RFC 1035 - 512 байт в максимуме. 10 гигабайт по 53-му порту - это не менее 20 миллионов таких пакетов, в сутки - порядка двух сотен в секунду.

Рекурсия... может давать "левый" трафик, но не с таким объемом, если только этот сервер не указан где-нибудь в качестве корневого, в чем я лично сомневаюсь.

Теоретически есть еще такая вещь, как TCP over DNS, но на практике не приходилось ни разу сталкиваться.

Если честно, больше напоминает неправильную настройку, но информации для точного ответа, от вас, Lynx., маловато. Выкладывайте настройки + ipconfig c сервера и одного из клиентов домена.

Link to comment
Share on other sites

Снес DNS, поставил по новой. Запросы по 53му порту пропали. Появилась новая напасть. ISой с контролера домена на прокси, где сама ISA и стоит, идет "неизвестный IP-трафик" по порту 2967

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...