Eu executo um servidor DNS PiHole, continuo vendo solicitações de DNS em massa para o domínio mariadb do meu servidor Ubuntu. Cerca de 50.000 por dia, 3 A e 3 AAAA a cada 10 segundos. Não consigo encontrar uma maneira de identificar o programa que os está enviando. Tentei configurar a entrada manualmente para um ip inexistente em /etc/hosts e isso interrompeu as solicitações por um tempo, mas depois elas voltaram e ainda não havia como identificar qual programa as estava enviando. Procurando uma maneira de identificar o programa que está fazendo isso. Verifiquei as configurações e parei temporariamente quase todos os programas que consigo imaginar e as solicitações continuaram.
ATUALIZAÇÃO: Essas solicitações de DNS estão aparecendo no meu log de consulta de DNS no meu buraco e ocasionalmente sobrecarregando-o. É por isso que achei o pihole relevante, o pihole está sendo executado em uma máquina diferente e esta máquina não está executando nada relacionado ao DNS, exceto o "resolvedor de stub resolvido pelo systemd". Mariadb está sendo executado no servidor em um contêiner docker para pilha de livros (também dockerizado), o mysql está sendo executado no servidor (não no docker) para vários sites wordpress, mas não há configuração em nenhum desses serviços que deveria estar fazendo com que eles procurassem o Domínio "mariadb". PHP7.4.9 é instalado conforme necessário para sites wordpress.
Responder1
em seu servidor DNS, que rootvocê pode usar tcpdumppara ver o tráfego real e identificar os IPs de origem dos quais você recebe as solicitações. Algo como:
tcpdump -vvnn tcp port 53 or udp port 53
deve mostrar uma grande quantidade de saída, então você pode salvar essa saída em um arquivo e anexar parte dela aqui, se não conseguir reconhecer os IPs de origem.