在我的一台 FC10 机器上,我注意到即使我没有对它进行任何操作,网络活动指示灯也会持续闪烁,因此我取出 wireshark 并查看了导致此问题的原因。它记录了相同的查询 xxx.1.168.192,其中 xxx 是我网络上的另一台当前未打开的机器 (winXP)。Wireshark 在“查询”选项卡下提供了“类型 PTR,类 IN”的附加信息。响应数据包为“无此名称”,在“授权名称服务器”下显示“168.192.in-addr.arpa:类型 SOA,类 IN,mname prisoner.iana.org”
每隔几分钟就会发生一次。
我不是(很多)系统管理员,但我会做一些简单的任务来照看网络,因此关于a)如何找出导致这种情况的原因和b)如何解决这个问题的一些指示会很棒。
细节:
源 192.168.1.fc10 目标 192.168.1.1 (dsl 网关) ‘PTR xxx.1.168.192.in-addr.arpa’
源 192.168.1.1 目标 192.168.1.fc10 ‘无此名称’ [重复频率 >40Hz]
编辑2:
另一个问题:与此同时,当有人试图为我指明正确的方向时,有没有办法在不干扰其他 DNS 请求的情况下阻止这个特定请求?
编辑3:
尝试了 tcpdump -i any -X nnv ip host 192.168.1.winxp 生成:
捕获了 0 个数据包,
过滤器接收了 0 个数据包,
内核丢弃了 0 个数据包
尝试使用“192.168.1.xxx winxp”编辑 hosts 文件(Eddy 把主机名放在第一位,但是我以为 IP 放在第一位?我是否遗漏了什么?)但是这没有任何作用,仍然获取 PTR 查询。
答案1
找到罪魁祸首了。由于它似乎是周期性的,我凭直觉检查了 crontab,发现我每隔 x 分钟运行一次 sarg(squid 报告生成器)。根据大家关于 DNS 查找等的建议,我检查了配置中的详细信息,发现它被配置为解析 IP 地址(错误),因此对于从 winXP 框记录的每个请求,它都会尝试解析它,并且它似乎对日志中的每个请求都这样做,因此发生了洪水。
修复:关闭解析 IP 地址。
感谢大家的想法,让我找到了正确的方向。发布答案,以防对别人有帮助。
答案2
我发现两个问题:
您的机器正在为另一台机器进行 PTR 查找。
您的内部 DNS 中没有针对子网的反向查找区域。这就是 PTR 查找转到 prisoner.iana.org 的原因
答案3
查询的来源是什么?我想知道您的网络上是否有服务正在尝试访问已禁用的 winxp 框(可能是网络共享),并且当它失败时,它会对 IP 进行反向 DNS 查找(因为我不知道为什么)。
答案4
您最近是否更改了 IP?可能是其他机器认为它正在使用 XP 工作站的 IP?通常只有当其他机器尝试连接到工作站时才会请求 PTR 记录。您示例中的 IP 192.168.1.xxx 正在尝试连接到您的 fc10 盒。如果您的 WinXP 盒已关闭,则不会注意到 IP 冲突。您的网络上除了 winxp、fc10 和 dsl 路由器之外还有其他机器吗?
正如 Eddy 所建议的,我会在你的 fc10 盒子上运行嗅探(tcpdump)并找出那些 PTR 记录是对什么的响应。
要修复此问题,请在 /etc/hosts 文件中为该 IP 添加一个条目。它掩盖了问题,但您在网络上不会再看到该 IP 的任何 PTR 流量。
顺便说一句,除了为什么会发生这种情况之外,我看不出有任何理由担心极少量的数据流量会对您的网络造成问题。