A na co ty dotazy jsou? Chyť na co se ptají, co je tam za sekvenci dotazů a jaká jde na to odpověď ke klientovi?
u zjsem to psal = dotaz ANY na '.' (root zona). Tazatel inzeruje pomoci EDNS0, ze akceptuje 4KB packety, takze mu resolver posle skoro 2KB dat s odpovedi (nabobtna protoze obsahuje RSIG zaznamy)
Vyvolává tento zvýšený tok dotazů k tomě i zvýšený tok od tebe dál?
na nasi strane do Internetu zadne problem nevznikne - resolver cacheuje. A i kdyby ne tech par set packetu nevic nic neznamena
Jiná varianta (vedle úmyslného pokusu o útok) je, že může jít o DNS tunelování provozu. Dneska se to používá pro obcházení sítě, kde je moc restriktivní, tak se normálně IP provoz tuneluje a vhodně balí do DNS dotazů. Režie brutální, ale nikdo to skoro nehlídá. Nebo se to používá i pro obejití placených hotspotů. Ovládají se tak i boti na dálku, kdy místo dříve populárního IRC dělají boti dotazy na specifické domény a v podzáznamech mají, co mají dělat atd.
to jsem samozrejme proveroval. Dotazy jsou neustale stejna data a odpovedi take - protoze se pta furt na stejne veci. DNS tunneling vypada jinak - minimalne by se muselo menit jmeno v dotazu.
Jiná možnost je, že může jít o zblbnutý pokus o DNSSEC resolving když vy ho nepodporujete a klient na něm zuřivě trvá a používá natvrdo forward k vám.
mozne je vsechno, nase oba zakaznicke resolvery ale DNSSEC podporuji. Navic mi nedochazi proc by se bezny klientsky resolver mel vubec ptat na root zonu.
Vlastne nevim jak DNSSEC funguje na strane klienta. Predpokladam, ze klient musi verit tomu, ze DNS resolver 'to dela spravne a duveryhodne', protoze jinak by si musel veskery resolving delat sam.
