Hallo,
Ronny Seffner ronny@seffner.de (Mi 14 Mär 2012 21:33:00 CET):
nötigen Konfigurationsänderung auf, dass er zum beenden seiner childs ewig braucht, eine Analyse der Logs ergab eine Unmengen von Anfragen.
Du loggst die Anfragen? Ohne Logging wird es vielleicht etwas entspannter?
Ich ging weiter in die Tiefe, so eine Zone wird in oben genanntem Zeitraum natürlich von beliebigen Clients angefragt, je aber ca. 4x.
4x die selbe Frage vom selben Client? Das ist nicht normal. Du beantwortest ja sicher schon die erste Frage. Der Client wird wohl ungeduldig, bevor Deine Antwort dort eingetroffen ist.
Die Zone mit dem Anfragenberg, hat auch solche Clients was normal schein allerdings auch welche, die je ca. 300 Anfragen auf immer wieder denselben record und das unmittelbar nacheinander/parallel von verschiedensten clientports aus.
Ein guter Resolver verwendet für jede Anfrage einen neuen Port. Und das schön zufällig. Ebenso die Query-IDs.
Normal ist das doch nicht, dass ein Client gleich auf mehreren Dutzend Ports ein und denselben Nameserver nach ein und demselben A record fragt. Ich vermute Böses, auch wenn mich das zur Zeit "nur" ressourcen kostet.
Nein, normal ist die Häufigkeit nicht. Wobei natürlich hinter dem „Client“ ein gesamtes Netz stecken kann mit schlechtem DNS-Caching und und 1000 Clients hinter dem NAT-Router machen dann ihre Anfragen.
Wie aber dämme ich das nun ein, ohne legitime Clients zu beeinflussen? Gehe ich das von Seiten netfilter/iptables irgendwie mit "limit" an oder gibt es da "Schrauben" im bind9, die ich mir anschauen sollte? Würdet ihr überhaupt etwas machen oder abwarten? Es geht schon ein paar Tage so.
hashlimit in den IPTables könnte Dein Freund werden.