Moin,
Ronny Seffner ronny@seffner.de (Mi 14 Mär 2012 22:46:10 CET):
4x die selbe Frage vom selben Client? Das ist nicht normal. Du beantwortest ja sicher schon die erste Frage. Der Client wird wohl ungeduldig, bevor Deine Antwort dort eingetroffen ist.
Nein, nicht die selbe. Mal A mal MX mal SPF, verteilt über den Tag manches ein zweites Mal obwohl, die TTL mehr hergäbe. Bis zu 4x hätte ich schreiben sollen, 1 und 2 ist häufger anzutreffen, über 4 nix und dann wieder ab 256 und dann immer A und alles in äußerst kurzer Zeit.
Wie groß ist bei den 1..2 mal die Zeitspanne zwischen Anfragen?
Ein guter Resolver verwendet für jede Anfrage einen neuen Port. Und das schön zufällig. Ebenso die Query-IDs.
Warum will dieser Resolver ein und denselben A record aber innerhalb von 10 Sekunden über 200x wissen - ich liefere ja sogar die Antwort.
Ja. 200+ in 10 Sekunden ist etwas häufig. Vielleicht cacht er nicht. Und vielleicht macht er etwas Böses, wofür er die A-Auflösung benötigt. Du bist also nur kolaterales Opfer.
Nein, normal ist die Häufigkeit nicht. Wobei natürlich hinter dem „Client“ ein gesamtes Netz stecken kann mit schlechtem DNS-Caching und und 1000 Clients hinter dem NAT-Router machen dann ihre Anfragen.
Möglich ist viel, aber 2xx Clients wollen im selben Augenblick kaum das gleiche wissen. Und das alle zwei Minuten später wieder 2xx solche Clients kommen, nur aus einem völlig andern IP-Bereich und das den ganzen Tag lang wird echt obscur - oder?
Allerdings. In welche Regionen gehören die Quell-IPs? Gibt es da Beziehungen zu der Domain?
hashlimit in den IPTables könnte Dein Freund werden.
Das schaue ich mir mal an.
Wenn sich die IPs ändern, ist das aber auch etwas sportlich…