query.log

0

1

Имею свой сервер с Bind, настроенным отвечать на все запросы одним IP. Сервис пока не популярен, так что запросы приходят только от ботов и некоторые довольно странные. Логирование настроено вот так:

logging {
    channel debug_log {
        file "/var/log/bind/debug.log";
        severity debug 3;
        print-category yes;
        print-severity yes;
        print-time yes;
    };
    channel query_log {
        file "/var/log/bind/query.log";
        severity dynamic;
        print-category yes;
        print-severity yes;
        print-time yes;
    };
    category resolver { debug_log; };
    category security { debug_log; }; 
    category queries { query_log; };
};

В /var/log/bind/query.log есть такие записи:

23-May-2014 16:58:48.588 queries: info: client 109.120.177.239#19608: query: . IN DNSKEY -EDC (109.120.177.239)
23-May-2014 16:58:49.389 queries: info: client 109.120.177.239#7846: query: . IN DNSKEY - (109.120.177.239)
23-May-2014 16:58:50.189 queries: info: client 109.120.177.239#48195: query: . IN DNSKEY - (109.120.177.239)
23-May-2014 17:58:50.191 queries: info: client 109.120.177.239#34753: query: . IN DNSKEY -EDC (109.120.177.239)
23-May-2014 18:58:50.192 queries: info: client 109.120.177.239#21637: query: . IN DNSKEY -EDC (109.120.177.239)
23-May-2014 18:58:50.993 queries: info: client 109.120.177.239#52725: query: . IN DNSKEY -EDC (109.120.177.239)
23-May-2014 19:58:50.994 queries: info: client 109.120.177.239#49052: query: . IN DNSKEY -EDC (109.120.177.239)
23-May-2014 20:58:50.995 queries: info: client 109.120.177.239#61815: query: . IN DNSKEY -EDC (109.120.177.239)
23-May-2014 21:05:16.182 queries: info: client 209.170.78.99#30627: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:05:51.159 queries: info: client 70.39.191.63#44065: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:05:55.704 queries: info: client 58.222.18.74#28331: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:06:04.662 queries: info: client 202.122.145.70#46814: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:06:16.648 queries: info: client 121.205.7.6#56060: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:06:34.951 queries: info: client 103.1.138.70#45728: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:06:52.905 queries: info: client 221.179.172.200#57217: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:07:07.591 queries: info: client 218.205.75.134#25452: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:07:13.940 queries: info: client 211.142.194.134#25569: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:07:33.918 queries: info: client 58.215.139.68#58345: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:07:34.782 queries: info: client 124.115.20.200#48929: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:07:46.167 queries: info: client 60.220.196.6#45027: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:07:56.464 queries: info: client 60.5.255.6#24997: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:08:22.272 queries: info: client 122.136.46.81#30251: query: whoami.akamai.net IN A + (109.120.177.239)
23-May-2014 21:09:28.979 queries: info: client 59.56.26.140#46136: query: whoami.akamai.net IN A + (109.120.177.239)

Там где whoami.akamai.net это я так понимаю этот домен спрашивали с IP из разных стран, почему?
Число после # - это номер порта с которого подключались?
IP адрес в конце в скобках это то что в ответ было послано?
Несколько записей где client 109.120.177.239 - почему IP адрес клиента совпадает с адресом моего сервера?
И еще вот:

23-May-2014 14:11:48.048 queries: info: client 198.20.69.74#46635: query: version.bind CH TXT + (109.120.177.239)
23-May-2014 14:11:48.263 queries: info: client 198.20.69.74#50770: query: shodan.io IN A + (109.120.177.239)

Запрашивали версию Bind`a, это сканер поисковика shodan или это просто так?

Ссылка

https://www.isc.org/downloads/bind/doc/bind-9-8/ , раздел 6.2.10.2.

The query log entry reports the client’s IP address and port number, and the query name, class and type. Next it reports whether the Recursion Desired flag was set (+ if set, - if not set), if the query was signed (S), EDNS was in use (E), if TCP was used (T), if DO (DNSSEC Ok) was set (D), or if CD (Checking Disabled) was set (C). After this the destination address the query was sent to is reported.

В файле только запросы, ответов в этом файле нет. В круглых скобках адрес сервер, на который был отправлен запрос, ведь у сервера может быть много адресов.

mky ★★★★★
(24.05.14 12:54:33 MSK)

Ответ на: комментарий от mky 24.05.14 12:54:33 MSK

А почему в некоторых записях адрес клиента совпадает с адресом сервера?

Turako
(24.05.14 19:35:28 MSK) автор топика

Ответ на: комментарий от Turako 24.05.14 19:35:28 MSK

Когда на компе устанвливается соединение к самому себе, обычно сокет от того же адреса, на который устанавливается соединение. То есть:
127.0.0.1 <-> 127.0.0.1
109.120.177.239 <->109.120.177.239

А что именно на сервере обращалось на внешний ip-адрес сервера, а не на 127.0.0.1 я не знаю.

mky ★★★★★
(25.05.14 07:13:59 MSK)

Похожие темы