BIND - Cache poisoning?

S

siroques

Registered User
Hallo,
ich habe seit tagen sekündlich DNS Queries auf meinem Strato-Server die wie folgt aussehen (rndc querylog):
Code: 
Apr  7 13:17:08 hxxxxxxx named[17907]: client 67.21.67.125#57824: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:12 hxxxxxxx named[17907]: client 67.21.67.125#12839: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:13 hxxxxxxx named[17907]: client 67.21.67.125#43977: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:16 hxxxxxxx named[17907]: client 67.21.67.125#46013: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:17 hxxxxxxx named[17907]: client 67.21.67.125#64849: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:19 hxxxxxxx named[17907]: client 67.21.67.125#38483: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:21 hxxxxxxx named[17907]: client 67.21.67.125#14548: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:24 hxxxxxxx named[17907]: client 67.21.67.125#30177: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:27 hxxxxxxx named[17907]: client 67.21.67.125#51567: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:29 hxxxxxxx named[17907]: client 67.21.67.125#40140: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:30 hxxxxxxx named[17907]: client 67.21.67.125#59313: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:30 hxxxxxxx named[17907]: client 67.21.67.125#22127: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:31 hxxxxxxx named[17907]: client 67.21.67.125#51705: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:31 hxxxxxxx named[17907]: client 67.21.67.125#50887: query: deepholeforyou.info IN TXT +E
Apr  7 13:17:33 hxxxxxxx named[17907]: client 67.21.67.125#26960: query: deepholeforyou.info IN TXT +E

Ich kann mir ehrlich gesagt nicht ganz erklären was diese Anfragen bezwecken sollen, ausser evtl. das jemand versucht meinen DNS Cache zu vergiften. Liege ich da richtig?
Ich habe weder diese Domain bei mir gehostet noch scheint es sie zu geben.

Kann mir da jemand etwas zu sagen?
 
Das sieht mir eher nach einem (D?)DOS aus.
Vermutlich ist die Source-Addresse (67.21.67.125) gespooft (UDP ist verbindungslos, die Anfrage kann von überall her kommen).
Dein Server (und möglicherweise noch etliche andere) bombardieren diesen Server nun mit DNS-Replys.
Welchem Zweck das dient, kann man nur raten. Entweder ein DOS oder wirklich ein Poisoning-Versuch.
 
Ein DOS- oder gar DDOS-Versuch kann ich mir kaum vorstellen.
Dazu kommen die Anfragen zu selten (ca. 1-2 / Sekunde).

Merkwürdig...
Was auch immer sich dabei wer denkt... :rolleyes:
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top