форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"DNS съедает весь трафик."
Сообщение от zhr on 16-Фев-04, 17:50  (MSK)
Всё ... я уже и не знаю как с этим бороться. Есть DNS срвер Bind9 на FreeBSD4.9 всё до недавнего времени работало нормально (чёт не могу свой пост найти). Но в какой то момент перестали определяться IP адреса для доменов, т.е. если в кэше моего DNS нет адреса для domain.ru любой клиент входит в ступор. По идеи все запросы должны направляться на корневой сервер. На сколько я понимаю весь российский трафик заворачивается сейчас на московский root dns. И если я правильно понимаю находиться он (обслуживается) в ripn.net Но запросы идут куда угодно, но только не на московский сервер .se .no и т.д. причём судя по трафику (trafshow) они пытаються слить мне весь свой кэш ... за час может накрутить до 400Мб трафика :( Настройки в DNS не менялись и не правились ... хотя что тут можно напортачить zone "." {         type hint;         file "named.root"; }; ЗЫ счаз все запросы заворачиваю к ISP, но это не выход т.к. любой сбой в работе DNS сервера провайдера и опять начинается накрутка трафика.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "DNS съедает весь трафик."
Сообщение от Vlady on 17-Фев-04, 09:13  (MSK)
Если честно - ничего не понял. Можно глянуть твой named.conf целиком?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "DNS съедает весь трафик."
	Сообщение от zhr on 17-Фев-04, 09:35  (MSK)
	>Если честно - ничего не понял. >Можно глянуть твой named.conf целиком? options {         directory "/usr/local/named/etc";         pid-file  "/usr/local/named/var/run/named.pid";         version   ":o)"; forwarders {                 x.x.x.x;                 y.y.y.y;            }; }; zone "." {         type hint;         file "named.root"; }; zone "0.0.127.IN-ADDR.ARPA" {         type master;         file "localhost.rev"; }; zone "10.168.192.IN-ADDR.ARPA"{         type slave;         masters{                 192.168.10.3;                 192.168.10.17;                 }; }; zone "my.net.local"{         type slave;         masters{                 192.168.10.3;                 192.168.10.17;                 };         file "mynet.local"; }; zone "domain-1.ru" {         type master;         file "domain-1.ru";         allow-transfer{194.226.96.8;}; }; zone "domain-2.ru" {         type master;         file "domain-2.ru";         allow-transfer{194.226.96.8;}; }; zone "domain-3.ru" {         type master;         file "domsin-3.ru";         allow-transfer{194.226.96.8;}; }; На IP 192.168.10.3 и 10.17 контроллеры домена на Win2000AS. Правило forwarders в секцию options добавил после того как начались глюки. С 194.226.96.8 приходят сообщения о невозможности получить с меня зону, хотя во премя тестирования и долгое время после всё нормально работало. Если а resolv.conf первым и единственным nameserver поставить мой IP то перестаёт работать whois (не доступен whois.ripn.net) а на запросы nslookup начинается накрутка трафика при запросах к другим DNS серверам. Мне ведь нужно получить всего один IP к которому привязано имя (допустим opennet.ru), но когда ответ от DNS сервера весит 17Мб я уж и не знаю что думать.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "DNS съедает весь трафик."
	Сообщение от Vlady on 17-Фев-04, 23:42  (MSK)
	>zone "10.168.192.IN-ADDR.ARPA"{ >        type slave; >        masters{ >    192.168.10.3; >    192.168.10.17; >             >    }; >}; Тут file пропустил. >        masters{ >        allow-transfer{194.226.96.8;}; >        allow-transfer{194.226.96.8;}; >        allow-transfer{194.226.96.8;}; Не знаю, как на это реагирует твой БИНД, но меня лично сильно напрягает отсутствие пробела перед открывающими фигурными скобками... ... и перед параметром... и перед закрывающей скобкой... >Правило forwarders в секцию options добавил после того как начались глюки. Дык пусть всегда будет - приятно использовать чужой кэш. >С 194.226.96.8 приходят сообщения о невозможности получить с меня зону, хотя во >премя тестирования и долгое время после всё нормально работало. Начни с пробелов и скобок... > Если а resolv.conf первым и единственным nameserver поставить мой IP то Гм... если на компе стоит ДНС, то кроме 127.0.0.1 для резолвинга другие неймсерверы компу не нужны. >перестаёт работать whois (не доступен whois.ripn.net) а на запросы nslookup начинается >накрутка трафика при запросах к другим DNS серверам. Мне ведь нужно >получить всего один IP к которому привязано имя (допустим opennet.ru), но >когда ответ от DNS сервера весит 17Мб я уж и не >знаю что думать. 17 мегов???  8-() Ик... Итог для начала: file и пробелы. Если не поможет, покажешь зону "domsin-3.ru"
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "DNS съедает весь трафик."
	Сообщение от zhr on 18-Фев-04, 07:28  (MSK)
	>Гм... если на компе стоит ДНС, то кроме 127.0.0.1 для резолвинга другие >неймсерверы компу не нужны. К DNS из resolv.conf обращаються приложения типа sendmail nslookup etc. Sendmail при отправке запрашивает запись MX или A для домена. Если ответа нет не в моём кэше не в кэше ISP то именно мой DNS полезет опрашивать корневые сервера и получать по 17Мб ответы :( >17 мегов???  8-() >Ик... > >Итог для начала: file и пробелы. Ну да file я проглядел ... каюсь. А без пробелов всегда работало ... скобка обозначает блок в котором определяються правила относящиеся к конкретному оператору. Думаю что при чтении конфига пробелы и знаки табуляции игнорируються, а разделителем является ';'. Во всяком случае named-checkconf ошибок не выдаёт. >Если не поможет, покажешь зону "domsin-3.ru"
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "DNS съедает весь трафик."
	Сообщение от Nightman on 18-Фев-04, 08:00  (MSK)
	>К DNS из resolv.conf обращаються приложения типа sendmail nslookup etc. >Sendmail при отправке запрашивает запись MX или A для домена. Если ответа >нет не в моём кэше не в кэше ISP то именно >мой DNS полезет опрашивать корневые сервера и получать по 17Мб ответы Это фантастика... я не верю!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "DNS съедает весь трафик."
	Сообщение от zhr on 18-Фев-04, 08:35  (MSK)
	>Это фантастика... я не верю! Считалка трафика ... избранное 9:19:49  3263845  17 192.35.51.31:53 -> my_ip:1094  (f2.NSTLD.COM) 09:29:49 4254288  17 192.33.14.31:53 -> my_ip:1094  (b2.NSTLD.COM) 09:29:49 7186188  17 192.42.93.31:53 -> my_ip:1094  (g2.NSTLD.COM) 09:34:49 9918247  17 192.5.6.31:53   -> my_ip:1094  (a2.NSTLD.COM) 09:34:49 12971467 17 192.31.80.31:53 -> my_ip:1094  (d2.NSTLD.COM) А вот с этого ответа я вообще выпал в осадок .... 09:49:49 30359680 17 192.36.125.2:53 -> my_ip:1094  (sunic.sunet.se) Без малого 29Мб. Так что да ... согласен ... про 17Мб я приукрасил :) >А это как понимать  вообше непонятно. :-) мне тоже ... но whois точно перестает работать - whois.ripn.net не известный хост. Как я говорил пинг и трасерт до него(194.85.119.131) не проходят. >Пересобирать bind пробывал? Да. Даже поставил новый релиз. Результат тот же.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "DNS съедает весь трафик."
	Сообщение от Nightman on 18-Фев-04, 09:27  (MSK)
	>>Это фантастика... я не верю! > >Считалка трафика ... избранное > >9:19:49  3263845  17 192.35.51.31:53 -> my_ip:1094  (f2.NSTLD.COM) >09:29:49 4254288  17 192.33.14.31:53 -> my_ip:1094  (b2.NSTLD.COM) >09:29:49 7186188  17 192.42.93.31:53 -> my_ip:1094  (g2.NSTLD.COM) >09:34:49 9918247  17 192.5.6.31:53   -> my_ip:1094  (a2.NSTLD.COM) >09:34:49 12971467 17 192.31.80.31:53 -> my_ip:1094  (d2.NSTLD.COM) > >А вот с этого ответа я вообще выпал в осадок .... > >09:49:49 30359680 17 192.36.125.2:53 -> my_ip:1094  (sunic.sunet.se) > >Без малого 29Мб. Так что да ... согласен ... про 17Мб я >приукрасил :) > >>А это как понимать  вообше непонятно. :-) >мне тоже ... но whois точно перестает работать - whois.ripn.net не известный >хост. Как я говорил пинг и трасерт до него(194.85.119.131) не проходят. > > >>Пересобирать bind пробывал? > >Да. Даже поставил новый релиз. Результат тот же. где такую считалку взял? ;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "DNS съедает весь трафик."
	Сообщение от Nightman on 18-Фев-04, 08:03  (MSK)
	Re Если а resolv.conf первым и единственным nameserver поставить мой IP то перестаёт работать whois (не доступен whois.ripn.net) А это как понимать  вообше непонятно. :-) Пересобирать bind пробывал?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "DNS съедает весь трафик."
	Сообщение от zhr on 18-Фев-04, 09:56  (MSK)
	>где такую считалку взял? ;) Этот лог мне ISP сбросил после того как я в trafshow понаблюдал скорость и объем закачки на выделенке в 100Мбит. На сколько я в курсе они пользуються net_acct. Если вас смутил domain-name в скобках, то это я ручками, для наглядности, добавил.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "DNS съедает весь трафик."
	Сообщение от Nightman on 18-Фев-04, 11:35  (MSK)
	>>где такую считалку взял? ;) > >Этот лог мне ISP сбросил после того как я в trafshow понаблюдал >скорость и объем закачки на выделенке в 100Мбит. На сколько я >в курсе они пользуються net_acct. Если вас смутил domain-name в скобках, >то это я ручками, для наглядности, добавил. хорошо предполагаем что статитстика не врет :-) Было бы любопытно посмотреть soa для зон.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "DNS съедает весь трафик."
	Сообщение от zhr on 18-Фев-04, 12:20  (MSK)
	>хорошо предполагаем что статитстика не врет :-) >Было бы любопытно посмотреть soa для зон. А при чем тут SOA. Трафик то накручивается на зонах для которых мой DNS не является 'авторитетным' :) Ну вот один из файлов описалова зоны zone domain-3.ru {        type master;         file "domain-3.ru";        allow-transfer {194.226.96.8;}; }; file "domain-3.ru" $TTL    1d @       IN      SOA     ns.domain-3.ru. root.mx.domain-3.ru.  (                                 10010   ;                                 2h      ;                                 1h      ;                                 4w      ;                                 4d     ); @                       IN      NS      ns.domain-3.ru. @                       IN      NS      ns4.nic.ru. @                       IN      A       1.1.1.1 localhost               IN      A       127.0.0.1 ns.kill-hup.ru.         IN      A       1.1.1.1 mx.kill-hup.ru.         IN      A       1.1.1.1 www.kill-hup.ru.        IN      A       1.1.1.1 domain-3.ru.            IN MX   10      mx.domain-3.ru. Остальные зоны с похожим описанием. Повторюсь ... с такой конфигурацией всё работало. Никаких изменений не вносилось. Как ответили мне в nic.ru ошибки в получении зоны связанны скорей всего с проблемами связи. Судя по количеству репортов о не возможности получить зону эта связь ваабсче отсутсвует. Боюсь эт связанно с той же проблеммой по причине которой я не вижу ru.whois-servers.net ака whois.ripn.net
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "DNS съедает весь трафик."
	Сообщение от zhr on 18-Фев-04, 12:22  (MSK)
	Ooops ... Не поправил файлик  :))) Всё вышесказанное естественно справедливо для kill-hup.ru а не для domain-3.ru :))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "DNS съедает весь трафик."
	Сообщение от Vlady on 18-Фев-04, 12:48  (MSK)
	Имхо... снеси всё нафиг и поставь операционку и БИНД с нуля. БЫСТРЕЕ результат будет. Чудес-то не бывает - где-то что-то перекосило. В таких случаях быстрее всё переставить, чем найти. Кстати, мож сетевка у тебя начала блудить? Какие еще сервисы на этом компе? Как они работают? И ещё раз ИМХО: добавь пробелы - жалко что-ли?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "DNS съедает весь трафик."
	Сообщение от uldus on 19-Фев-04, 22:32  (MSK)
	>Имхо... снеси всё нафиг и поставь операционку и БИНД с нуля. >БЫСТРЕЕ результат будет. >Чудес-то не бывает - где-то что-то перекосило. Перекашивает обычно в голове, хуже когда хронический перекос рук (не в обиду, но это о вас). >В таких случаях быстрее всё переставить, чем найти. Молчали бы лучше чем такие советы давать. Чтобы не ломать голову догадками давно бы уже запустили tcpdump и посмотрели что за трафик идет с root-dns. В добавок: - включить всю возможную диагностику в логи - поставить dnstop и посмотреть нет ли кривых клиентов (бывает какой-нибудь завирусенный windows дает в час в сотню раз больше DNS трафика чем вся сеть за неделю). Лечится обычно через rate-limit, например, ограничить чтобы не проходило больше 50 запросов к DNS в минуту. - запустить chkrootkit, может на вашей машине троян занимающийся флудом Root-DNS.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "DNS съедает весь трафик."
	Сообщение от Vlady on 20-Фев-04, 11:41  (MSK)
	>Перекашивает обычно в голове, хуже когда хронический перекос рук > (не в обиду, но это о вас). ... >Молчали бы лучше чем такие советы давать. Эникейщиком назвать тебя язык не поворачивается, а вот     - Хамишь, парниша (с) Эллочка-людоедка - вполне...  ;) Место и наказание для осмысления собственного поведения выбери себе сам - по вкусу и разумению. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "DNS съедает весь трафик."
	Сообщение от uldus on 20-Фев-04, 16:33  (MSK)
	Прошу прощения, вырвалось. Как показал просмотр тредов с вашими ответами, мое мнение оказалось ошибочным. Но рекомендация перустановки с нуля без выявление причины проблемы, вдруг само починится, это тоже перебор.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "DNS съедает весь трафик."
	Сообщение от Vlady on 20-Фев-04, 18:45  (MSK)
	>Прошу прощения, вырвалось. Как показал просмотр тредов с >вашими ответами, мое мнение оказалось ошибочным. Ладно, проехали, с кем ни бывает: сорвалось с языка - не рубить же :) Даст Бог - пивка попьём, посмеемся. :) >Но рекомендация перустановки с нуля без выявление причины >проблемы, вдруг само починится, это тоже перебор. Мало ли - начиная от "сетевка накрывается (или уже) и/или развалился стек протоколов" и до "ошибка в БИНДе". Перестановка системы с готовыми конфигурашками занимает несколько часов; по мере добавления конфигурашек можно быстро вычислить где "криво". Логи не каждый сможет разобрать - это может растянуться на недели. Неделя (даже полный рабочий день) недоступности сервиса - преступление против работодателя. Твой путь - для профи, мой - для среднестатистического админа. И, плз, если тебя не коробит - давай на "ты", а? Наличие и/или отсутствие уважения к собеседнику от формы обращения к нему не зависит. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "DNS съедает весь трафик."
	Сообщение от Nightman on 18-Фев-04, 13:00  (MSK)
	>Ooops ... >Не поправил файлик  :))) >Всё вышесказанное естественно справедливо для kill-hup.ru а не для domain-3.ru :)) Я все вел к тому что возможно ttl на зонах "короткий" поэтому на днсник ломятся и накручивают трафик.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "DNS съедает весь трафик."
	Сообщение от zhr on 18-Фев-04, 14:16  (MSK)
	>Я все вел к тому что возможно ttl на зонах "короткий" поэтому >на днсник ломятся и накручивают трафик. Сумневаюсь. Домены зарегистрированы меньше месяца назад. Да и трафик то входящий, и причем видно по логам, что идет передача не понятно чего с корневых DNS серверов. >Имхо... снеси всё нафиг и поставь операционку и БИНД с нуля. >БЫСТРЕЕ результат будет. >Чудес-то не бывает - где-то что-то перекосило. В таких случаях быстрее >всё переставить, чем найти. Но причину то хотелось бы выяснить. Мало ли када пригодиться. >Кстати, мож сетевка у тебя начала блудить? Какие еще сервисы на этом >компе? Как они работают? Хорошо бы ели б проблема была тока в железе. А сервисы стандартные sendmail, bind, natd, www, ftp. Две сетевухи  одна в локалку другая на ISP смотрит. На выходных наверное придётся все в отдельности пересобрать, что б выявить косяк. ЗЫ и мне все таки интересно что это за трансфер был с DNS в 29Мб ? :) Может кто поделиться соображениями.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "DNS съедает весь трафик."
	Сообщение от ipmanyak on 18-Фев-04, 14:27  (MSK)
	запусти bind с опцией отладки и смотри логи
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "DNS съедает весь трафик."
	Сообщение от pavel on 18-Фев-04, 21:29  (MSK)
	Allow-recursion opredeli obnovi kornewuyu zonu named.root (ftp rs.internic.net)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "DNS съедает весь трафик."
	Сообщение от zhr on 20-Фев-04, 07:00  (MSK)
	>Чтобы не ломать голову догадками давно бы уже запустили tcpdump и >посмотрели >что за трафик идет с root-dns. >В добавок: >- включить всю возможную диагностику в логи >- поставить dnstop и посмотреть нет ли кривых клиентов (бывает какой->нибудь >завирусенный windows дает в час в сотню раз больше DNS трафика чем вся >сеть за неделю). >Лечится обычно через rate-limit, например, ограничить чтобы не проходило >больше 50 запросов к DNS в минуту. От части проблема решена. Во всяком случае с трафиком. Стыдно сознаться, но FreeBSD как бы не причем оказалась. Сдох DNS на основном контроллере домена под Win2000AS. Причем сдох молча гад ... прикинулся шлангом и делал вид что работает. Резервный контроллер домена решил весь удар принять на себя (по скольку трансфер с основного получить не смог) и подумав что он теперь царь и бог - назначил себя корневым DNS. Благо для него до этого порты на фаерволе были открыты для апгрейда самой оси и антивиря. Обнаружилось только после просмотра портянок логфайлов за чашкой пива. Ну а по скольку на клиентах домена первым DNS указан DNS одного из контроллеров, а уж потом DNS on FreeBSD, вот и наковырял трафика. Но ru.whois-servers.net FreeBSD так и не видит. А со вторичного приходят ответы об ошибке получения SOA записи. Логи Bind довольно таки тяжолые для анализа. На выходных настрою вторичный DNS в другой сети и буду отлавливать xfer-out в логах. ЗЫ Надеюсь отследить что стало причиной чего ... толи недоступность whois вызвало падение DNS на Win2000AS, толи наоборот (что очень маловероятно).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "DNS съедает весь трафик."
	Сообщение от Vlady on 20-Фев-04, 11:28  (MSK)
	>Ну а по скольку на клиентах >домена первым DNS указан DNS одного из контроллеров, а уж потом >DNS on FreeBSD, вот и наковырял трафика. Гм... клиенты виндового домена вообще ничего не должны знать о ДНС на Фре. У них должны быть прописаны только Виндовые АД ДНС. А уж в ДНС-В2к нужно в форвардеры вписать твою фрюху. Вот еще что: A bug in the Windows 2000 DNS server can cause zone transfers from a BIND 9 server to a W2K server to fail. For details, see the "Zone Transfers" section in doc/misc/migration.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "DNS съедает весь трафик."
Сообщение от stels on 23-Фев-04, 03:08  (MSK)
Извиняюсь может не в тему, но. Ты уверен что это чисто DNS трафик, к примеру tcpdump-ом слушать не пытался. Можно же предположить что тебя ночью или днём ..., а чтобы не очень было заметно повесить сервис работающий через 53 порт. Ещё раз приношу извинения, если я не в тему.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.