Ich betreibe einen PiHole-DNS-Server und sehe ständig Massen-DNS-Anfragen für die Domäne MariaDB von meinem Ubuntu-Server. Ungefähr 50.000 pro Tag, 3 A und 3 AAAA alle 10 Sekunden. Ich kann anscheinend keine Möglichkeit finden, das Programm zu identifizieren, das sie sendet. Ich habe versucht, den Eintrag manuell auf eine nicht vorhandene IP in /etc/hosts zu setzen, und das hat die Anfragen für eine Weile gestoppt, aber dann kamen sie zurück und es gab immer noch keine Möglichkeit, das Programm zu identifizieren, das sie gesendet hat. Ich suche nach einer Möglichkeit, das Programm zu identifizieren, das dies tut. Ich habe die Konfigurationen überprüft und fast jedes Programm, das mir einfällt, vorübergehend gestoppt, und die Anfragen gingen weiter.
UPDATE: Diese DNS-Anfragen werden in meinem DNS-Abfrageprotokoll auf meinem Pihole angezeigt und überlasten es gelegentlich. Aus diesem Grund dachte ich, dass Pihole relevant ist. Pihole läuft auf einer anderen Maschine, und auf dieser Maschine läuft nichts, was mit DNS zu tun hat, außer dem „systemd-resolved stub resolver“. Mariadb läuft auf dem Server in einem Docker-Container für Bookstack (ebenfalls dockerisiert), MySQL läuft auf dem Server (nicht in Docker) für mehrere WordPress-Sites, aber in keinem dieser Dienste gibt es eine Konfiguration, die sie veranlassen sollte, die „MariaDB“-Domäne nachzuschlagen. PHP7.4.9 ist wie erforderlich für die WordPress-Sites installiert.
Antwort1
auf Ihrem DNS-Server, da rootSie damit tcpdumpden tatsächlichen Datenverkehr sehen und die Quell-IPs identifizieren können, von denen Sie die Anfragen erhalten. So etwas wie:
tcpdump -vvnn tcp port 53 or udp port 53
sollte eine große Menge an Ausgabe zeigen, Sie können diese Ausgabe also in einer Datei speichern und einen Teil davon hier anhängen, wenn Sie die Quell-IPs nicht erkennen können.