DNS请求分析

xiaoxiao2026-02-13 13

经监控中心报告, 我电脑出现 DNS 并发过大现象, 下面是分析过程

环境

pdns-recursor-3.7.2-1.x86_64 pdns-static-3.4.4-1.x86_64 mariadb-server-5.5.41-2.el7_0.x86_64

测试过程, 抓取 dns 数据包, 另存为文件 dns.pcap

tcpdump -c 100000 -ni eth0 udp port 53 -w dns.pcap

利用 dnstop 生成报告

dnstop -l 4 dns.pcap > dnstop.report

简单报告分析

主机请求比例分析

Sources Count % cum% -------------- --------- ------ ------ 10.198.128.212 496 1.0 1.0 10.198.128.219 482 1.0 2.0 10.198.128.213 394 0.8 2.7 10.198.128.209 392 0.8 3.5 10.198.128.210 388 0.8 4.3 10.198.128.214 384 0.8 5.1 10.198.128.216 354 0.7 5.8 10.198.128.215 352 0.7 6.5 .......

DNS回应比例

Destinations Count % cum% ------------- --------- ------ ------ 10.198.128.23 49999 100.0 100.0 10.199.129.22 2 0.0 100.0

DNS请求类型

Query Type Count % cum% ---------- --------- ------ ------ A? 49907 99.8 99.8 PTR? 46 0.1 99.9 AAAA? 46 0.1 100.0 SOA? 2 0.0 100.0

DNS 回应正确错误比例

Opcode Count % cum% ------ --------- ------ ------ Query 50001 100.0 100.0 Rcode Count % cum% ------- --------- ------ ------ Noerror 50001 100.0 100.0

DNS查询比例

Query Name Count % cum% --------------------------- --------- ------ ------ sh.vclound.com 25000 50.0 50.0 zabbix.vclound.com 24883 49.8 99.8 mirrors.vclound.com 37 0.1 99.8 199.10.in-addr.arpa 26 0.1 99.9

结果, DNS 请求主要来自于 zabbix 监控请求导致.

最新回复(0)