Prapodivná DNS aktivita

Zdravím,
Dnes jsem si v pi-hole všiml opravdu podezřelé aktivity. Zatímco v mé síti proběhne kolem 1000 ±několik set DNS dotazů denně tak dnes v noci se děli divné věci. Z nějakého zařízení, jehož znám ipv6 adresu ale nějak nevím jak ji v turrisu spojit s mac adresou dochází k obrovskému množství aktivity. Jde vždy o adresy s koncovkou rodj0u.vkcache.com to před vkache je vždy náhodné. Nevíte co by to mohlo být?

Z majordoma je vidět že jen během jedné hodiny proběhla kvanta komunikace přes UDP vysoké porty 55000 a podobná hladina, dost ipček kde šly pakety jen ven a nevracely se. o velký kus větší množství ipček kde to šlo jednou nebo až pětkrát ven přibližně a vrátilo se to jednou.

Normální komunikace v síti obsahuje větší množství entropie stejně tak kombinaci udp a tcp provozu.

podivná UDP komunikace má ještě tu vlastnost že jde jen o stovky bajtů.

ahoj, zkus
[ root@turris ] ~
$> ip -6 neigh show
to by ti mělo ukázat mac vs IP.
Jinak vkcache je doména východní sociální sítě, takže… :confused:

Z popisu hádám, že jde o random subdomain attack.

Nejlepší bude zjistit co za stroj generuje podezřelé dotazy, prozkoumat co se děje a (dost možná) zbavit se infekce. Hodně štěstí.