'n Abend Heiko,
Du loggst die Anfragen? Ohne Logging wird es vielleicht etwas entspannter?
Mit Sicherheit, ich wollte aber mal wissen was los ist. Für munin sollte ja die stats genügen ;-)
4x die selbe Frage vom selben Client? Das ist nicht normal. Du beantwortest ja sicher schon die erste Frage. Der Client wird wohl ungeduldig, bevor Deine Antwort dort eingetroffen ist.
Nein, nicht die selbe. Mal A mal MX mal SPF, verteilt über den Tag manches ein zweites Mal obwohl, die TTL mehr hergäbe. Bis zu 4x hätte ich schreiben sollen, 1 und 2 ist häufger anzutreffen, über 4 nix und dann wieder ab 256 und dann immer A und alles in äußerst kurzer Zeit.
Ein guter Resolver verwendet für jede Anfrage einen neuen Port. Und das schön zufällig. Ebenso die Query-IDs.
Warum will dieser Resolver ein und denselben A record aber innerhalb von 10 Sekunden über 200x wissen - ich liefere ja sogar die Antwort.
Nein, normal ist die Häufigkeit nicht. Wobei natürlich hinter dem „Client“ ein gesamtes Netz stecken kann mit schlechtem DNS-Caching und und 1000 Clients hinter dem NAT-Router machen dann ihre Anfragen.
Möglich ist viel, aber 2xx Clients wollen im selben Augenblick kaum das gleiche wissen. Und das alle zwei Minuten später wieder 2xx solche Clients kommen, nur aus einem völlig andern IP-Bereich und das den ganzen Tag lang wird echt obscur - oder?
hashlimit in den IPTables könnte Dein Freund werden.
Das schaue ich mir mal an.
Mit freundlichen Grüßen / Kind regards Ronny Seffner