Hoppla…
Seit einigen Tagen beobachten wir eine leicht angestiegene Last auf einem unserer DNS-Server. Nicht nennenswert, aber immerhin im MRTG-Graphen leicht sichtbar.
Nun habe ich in der Prozessliste gesehen, dass der BIND-Prozess derzeit >30% CPU zieht, obwohl quasi nichts Besonderes los ist (der DNS arbeitet nicht als Resolver, sondern löst nur die bei uns gehosteten Domains auf). Erst auf den dritten oder vierten Blick ist mir dann aber etwas Anderes aufgefallen: in der Skala des Graphen für DNS-Anfragen pro Minute steht plötzlich ein “k”. Soll heißen, die Anfragezahlen sind in den letzten Tagen etwa um den Faktor 500 (!) gestiegen. Im Wochen-Graphen sieht man das recht deutlich:
Ich bin mal gespannt was genau dahinter steckt. Als Erstes werde ich mir mit tcpdump nun mal die Anfragen etwas genauer unter die Lupe nehmen…
Am 22. Juni 2013 um 11:56 Uhr
TTL irgendwo grob falsch/ungünstig eingestellt?
Am 22. Juni 2013 um 12:14 Uhr
Vielleicht sind das die Auswirkungen auf den Zerigo ddos.
Am 22. Juni 2013 um 12:25 Uhr
Hat sich in der Tat als Nebenwirkung eines DDoS-Scripts entpuppt, welches auf dem dedizierten Server eines Kunden lief.
Dieser Kunde hat wiederum blöderweise unseren DNS als Resolver eingetragen (was keinen Sinn macht), und somit landeten da ziemlich viele Anfragen.
Naja, am Montag werden wir mal einen Nagios-Check einrichten, der die durchschnittlichen DNS-Queries/Min mit überwacht.
Am 22. Juni 2013 um 12:28 Uhr
Ich finde es aber beeindruckend, wie BIND skaliert. 120.000 Anfragen/Minute sind immerhin 2.000 Anfragen pro Sekunde - und das auf eher durchschnittlicher Hardware. Da BIND nur auf einem CPU-Kern läuft, ist das in der Gesamtlast kaum aufgefallen.