Unbound: Top passed domains lautet "to"? Was ist das?

Started by white_rabbit, March 03, 2024, 08:25:01 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 03, 2024, 08:25:01 PM
Hallo.
Ich habe bei uns (OPNSense 24.1.2_1-amd64) unter
Code Select
Berichterstattung -> Unbound DNS gesehen, dass als "Top passed Domain" einfach nur "to." gelistet wird.
Was hat es damit auf sich?

Wenn man einen Client anklickt steht da auch nur sowas wie:
Code Select

mein-client A to. Pass Cache NOERROR 0ms 1407

Diese Einträge wiederholen sich oft. Wer hat eine gute Erklärung?
March 04, 2024, 10:23:41 AM #1
Kaputte DNS Datenbank?

Bestehende kann über Berichterstattung -> Einstellungen resetted werden.
March 04, 2024, 03:45:29 PM #2
Das habe ich gemacht, dann etwas gewartet und gerade nochmal nachgeschaut ... aber die Einträge sind wieder da, wenn auch dieses Mal nur auf Platz 7:

Code Select

Top passed domains
7.  to.    144 (3.36%)


Das muss also noch woanders herkommen ... nur: Was kann das sein?
March 04, 2024, 04:13:20 PM #3
Bist du mal auf Details gegangen und hast danach gesucht? Evtl. nutzt missbraucht ein Client .to für eigene Zwecke oder es ist ein Bug?

March 05, 2024, 12:42:49 PM #4
In den Details steht nicht mehr als oben angezeigt.
Wenn ein Client die Domain .to verwenden würde, müsste man ihn ja anpingen / finden können. Da unter OPNSense aber kein vollständiger FQDN steht, weiß ich nicht, wie ich das weiter einkreisen kann.
March 05, 2024, 02:41:18 PM #5
In den Detail kann man aber doch sehen, wer die Anfrage ausgelöst hat.
Gibt es diese Einträge nicht für .to?

Hier ein Beispiel für forum. :-)
March 06, 2024, 01:40:18 PM #6
Ach das meintest Du -- ich hab es nochmal nachgesehen: Das war der Server (der auch Samba/AD, LDAP und DNS macht).
Wenn ich auf dem Server sowas mache wie
Code Select

dig to @10.16.1.1


Bekomme ich:
Code Select

;; QUESTION SECTION:
;to.                            IN      A

;; AUTHORITY SECTION:
to.                     134     IN      SOA     to. hostmaster.tonic.to. 2024030701 43200 7200 2592000 7200

;; Query time: 4 msec


Ob das aber eine "echte Abfrage ist" mit diesem unvollständigen Domainnamen, kann ich nicht genau sagen.
March 06, 2024, 01:44:44 PM #7
.to ist eine TLD, keine Domain. Eine TopLevelDomain, also wie .de o.ä. ein Anhängsel, dass es nicht allein gibt. Ein Lookup nach to wird also immer scheitern bzw. da es keine saubere FQDN ist, wird "to" einfach als Hostname interpretiert und ggf. die Default Domain angehängt wenn eine konfiguriert ist/war.

Das geht aber aus der Info gar nicht hervor, ob hier .to als TLD oder einfach nur als Hostname "to" abgefragt wurde.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
March 06, 2024, 01:49:23 PM #8
Ich würd mal auf dem Client-System suchen gehen. Vielleicht so ein Bug wie bei dem Supermicro IPMI - lässt man dort das Feld für den NTP-Server leer, füllt sich das DNS-Request-Log mit Abfragen nach "prefer" ...  ::)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 06, 2024, 01:51:36 PM #9
Ja nach sowas hört sich das an. Irgendein System mit ner komischen Maske wo vielleicht "from" "to" drinstand und jetzt steht irgendwo bei ner IP oder nem DNS Eintrag "to" drin und das System versucht das die ganze Zeit sinnlos aufzulösen :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
March 06, 2024, 02:19:34 PM #10
Dein Problem liegt folglich auf deinem AD Server. Nadel im Heuhaufen, aber vielleicht kommst ja dahinter. 🙂

Viel Glück und viele Erfolg
Print
Go Up Pages1
User actions