DNS请求分析

经监控中心报告, 我电脑出现 DNS 并发过大现象, 下面是分析过程

环境

pdns-recursor-3.7.2-1.x86_64
pdns-static-3.4.4-1.x86_64
mariadb-server-5.5.41-2.el7_0.x86_64

测试过程, 抓取 dns 数据包, 另存为文件 dns.pcap

tcpdump -c 100000 -ni eth0 udp port 53 -w dns.pcap

利用 dnstop 生成报告

dnstop -l 4 dns.pcap > dnstop.report

简单报告分析

主机请求比例分析

Sources            Count      %   cum%
-------------- --------- ------ ------
10.198.128.212       496    1.0    1.0
10.198.128.219       482    1.0    2.0
10.198.128.213       394    0.8    2.7
10.198.128.209       392    0.8    3.5
10.198.128.210       388    0.8    4.3
10.198.128.214       384    0.8    5.1
10.198.128.216       354    0.7    5.8
10.198.128.215       352    0.7    6.5
.......

DNS回应比例

Destinations      Count      %   cum%
------------- --------- ------ ------
10.198.128.23     49999  100.0  100.0
10.199.129.22         2    0.0  100.0

DNS请求类型

Query Type     Count      %   cum%
---------- --------- ------ ------
A?             49907   99.8   99.8
PTR?              46    0.1   99.9
AAAA?             46    0.1  100.0
SOA?               2    0.0  100.0

DNS 回应正确错误比例

Opcode     Count      %   cum%
------ --------- ------ ------
Query      50001  100.0  100.0

Rcode       Count      %   cum%
------- --------- ------ ------
Noerror     50001  100.0  100.0

DNS查询比例

Query Name                      Count      %   cum%
--------------------------- --------- ------ ------
sh.vclound.com                  25000   50.0   50.0
zabbix.vclound.com              24883   49.8   99.8
mirrors.vclound.com                37    0.1   99.8
199.10.in-addr.arpa                26    0.1   99.9

结果, DNS 请求主要来自于 zabbix 监控请求导致.