Hallo Gruppe,
ich habe einen bind9, der auch zwei in etwa gleich interessante Zonen öffentlich publiziert. Heute fiel mir beim restart des bind nach einer nötigen Konfigurationsänderung auf, dass er zum beenden seiner childs ewig braucht, eine Analyse der Logs ergab eine Unmengen von Anfragen.
Während die eine Zone in einem Zeitraum ca. 300x befragt wird, sind die Anfragen an die andere Zone im selben Zeitraum zwischen Faktor 50 und 100 größer. Wie gesagt ich glaube, dass die Zonen ungefähr gleich häufig gefragt werden sollten/könnten. Ich ging weiter in die Tiefe, so eine Zone wird in oben genanntem Zeitraum natürlich von beliebigen Clients angefragt, je aber ca. 4x. Die Zone mit dem Anfragenberg, hat auch solche Clients was normal schein allerdings auch welche, die je ca. 300 Anfragen auf immer wieder denselben record und das unmittelbar nacheinander/parallel von verschiedensten clientports aus.
Normal ist das doch nicht, dass ein Client gleich auf mehreren Dutzend Ports ein und denselben Nameserver nach ein und demselben A record fragt. Ich vermute Böses, auch wenn mich das zur Zeit "nur" ressourcen kostet.
Wie aber dämme ich das nun ein, ohne legitime Clients zu beeinflussen? Gehe ich das von Seiten netfilter/iptables irgendwie mit "limit" an oder gibt es da "Schrauben" im bind9, die ich mir anschauen sollte? Würdet ihr überhaupt etwas machen oder abwarten? Es geht schon ein paar Tage so.
Mit freundlichen Grüßen / Kind regards Ronny Seffner