Onderwerp: Enorm veel UDP traffic

Ik heb last van enorm veel UDP traffic, en het ziet niet uit als een attack. Vrijwel elke seconde wordt er door 1 ipadres (altijd verschillend) de nameserver geraadpleegt. Waarom dit gebeurt snap ik eigenlijk niet, want het pakketje wordt dan gedropt en de websites komen toch gewoon door.

Code:

kernel: ** IN_UDP DROP ** IN=eth0 OUT= MAC=00:00* SRC=*.*.*.* DST=server LEN=68 TOS=0x00 PREC=0x00 TTL=47 ID=38965 DF PROTO=UDP SPT=33017 DPT=53 LEN=48

Waar kan dit aan liggen?

--EDIT--
Ik moet beter lezen, je weet dat het DNS is, en dat het geen attack is
--END-EDIT--
UDP en dpt: 53?
dpt is destination port.
poort 53 is DNS (zowel voor tcp als udp)

lijkt dus op DNS traffic.
Misschien een klein ddos-je?

Waarom? geen idee, is het request niet gericht aan je nameserver? Dan zou het lijkt mij heel normaal zijn.

Ja oke, maar zoveel toch niet.. Normaal nooit last van gehad, net was de logfile opeens 1.3 gigabyte.

De hoeveelheid DNS-queries is afhankelijk van de TTL die jij in de zonefiles zet.
En of dat de DNS-servers van de providers de dns-queries cachen gedurende de ttl. Men kan er voor kiezen om geen caching te doen, en slechts als recursive dns te fungeren. Kortom opzoeken welke dns-server verantwoordelijk is en daar naar redirecten.

Het is dus een moeilijke situatie.
Zijn de requests voor de dns-server gevuld met daadwerkelijk een dns-query of wordt er bogus data verstuurd?

Oorspronkelijk geplaatst door groenleer

--EDIT--
Ik moet beter lezen, je weet dat het DNS is, en dat het geen attack is
--END-EDIT--
UDP en dpt: 53?
dpt is destination port.
poort 53 is DNS (zowel voor tcp als udp)

lijkt dus op DNS traffic.
Misschien een klein ddos-je?

Waarom? geen idee, is het request niet gericht aan je nameserver? Dan zou het lijkt mij heel normaal zijn.

Dit hebben wij ook eerder gehad op DNS servers bij onze oude colo boer, dit bleek een ddos te zijn met overmatig veel UDP requests richting de DNS server, een ratelimit in iptables heeft dit wel opgelost.

Oorspronkelijk geplaatst door veraert

Dit hebben wij ook eerder gehad op DNS servers bij onze oude colo boer, dit bleek een ddos te zijn met overmatig veel UDP requests richting de DNS server, een ratelimit in iptables heeft dit wel opgelost.

bedankt voor de tip, echter is er niet veel aan te doen met ratelimit aangezien het 1 keer per seconde maximaal is. Voorbeelden op google kun je het aantal requests per seconde instellen.