Skokový nárust UDP spojení na port 53

Přátelé, můžete mi někdo vysvětlit, proč mi Turris v různých intervalech generuje nárůst počtu spojení, viz obrázek? Valná většina těchto spojení míří na port 53. Problémem je, že můj ISP reguluje počty současných spojení (standardně 350, nyní mně zvýšeno na 500) a jakmile se mi takto zahltí linka, jakékoliv snahy o zobrazení webových stránek a jiné bohulibé činnosti nefungují, resp. se zobrazí na třeba 3-5 refresh.
Dnešní pozorování:

  • zapnu LXC container s Debianem (apache server, MQTT broker) - okamžitý nárůst spojení. Při vypnutí okamžitý pokles do normálu (cca 100-150 otevřených spojení)
  • zapnu IPv6tunnel (HE.net) - stejné chování, při vypnutí opět velký pokles.

Nastavení DNS: forward na DNS servery nic.cz (kvůli DNSSEC).

Předpokládám, že mám něco špatně nastaveno, ale nemám úplně představu, kde hledat. Tyto problémy se nedějí trvale, ale za poslední půlrok to bylo včera a dnes cca popáté, kdy se to takto chová.

Díky za rady a dotazy
TomasA

Edit: LXC a IPv6 jsou již delší dobu (2h) vypnuty, ale ty “cyklické” nárůsty počtu UDP spojení na port 53 trvají, vždy cca 2-3 minuty zcela marginální počty spojení a pak náhle “špička” - 300-400 spojení.

Edit2: Podobný “problém” se řešil v tomto vlákně, ale žádné řešení nebylo nalezeno, pouze 1 odpověď.

Zdravím,
jen pro upřesnění jedná se o Turris 1.x? Máte zapnutý Majordomo? Pokud ano, tak ho zkuste vypnout.

No, reverzní překlady jmen by mohly generovat hodně spojení. Zrovna kombinace forwardingu s DNSSEC je navíc relativně náročná v tomto směru; vypnutí forwardingu (a nechání DNSSEC) by od oka mohlo vést zhruba k poklesu na polovinu, ale předpokládám že to pro vás stejně nebude zásadní rozdíl.

Co by mělo výrazně pomoct: forwardovat skrze ten IPv6 tunel. Možná to pro vás bude jednoduché, když tunel stejně máte, ale vytvořila by se tím na něm relativně zásadní závislost. (Veřejné resolvery cz.nic samozřejmě mají i IPv6 adresy.)

Časem je v plánu možnost forwardovat po sdíleném (jednom) TCP nebo TLS spojení, ale to je otázka budoucnosti…

Pánové, zkuste se na tu stránku podívat(http:///cgi-bin/luci/admin/status/realtime/connections#), všem to bude dělat skokový (přímo lavinový, u mne ve špičce až 6 tisíc dotazů) nárůst UDP komunikace na portu 53, protože ta stránka se pokouší přeložit názvy DNS serverů kterých se ptala na IP DNS předešlých serverů a je to stále dokola, nejspíše protože obchází (alespoň mám dojem u mne na Turris 1.1) unbound a ptá se přímo kořenových DNS serverů (jinak by unbound měl dávno ty jména nacachované a odpovídal by sám).

Ta stránka by vůbec neměla v základu žádné IP adresy překládat!

1 Like

Turris 1.1, Majordomo jsem nainstaloval až včera právě proto, abych případně zjistil, co se děje a z kterého domácího zařízení. Zkoumat počty spojení jsem začal až poté, co mně na zvýšený počet upozornil ISP …

V Majordomo si ale vypněte v nastavení zpětný překlad IP adres (Lookup), protože potom je to “z deště přímo pod okap”.

Zdravim,

kupodivu mam podobny problem, mnoho UDP provozu narazove. jak source tak destination je nejaky server na strane providera. Vse smerovano na port 53.

Da se tomu nejak branit prenastavenim, nebo co s tim?

Ten provoz vytváří/generuje sama tato stránka, protože se snaží přeložit všechna zobrazené IP adresy na DNS jména a vzniká lavina dotazů.

V Majordomo jsem vypnul ten zpětný překlad adres, na grafy radeji nepolezu (ale hodila by se možnost u grafu ten zpětný překlad vypnout) a budu dál sledovat.
Zatím děkuji všem za názory i náměty.
TomasA

1 Like

Tak jak si dopadl? Mě tyto úpravy nepomohly a nedaří se mi zatím zjistit souvislost. Vypadá to, že každé aktivní spojení an sebe naváže spoustu nadbytečných dotazů směrem k DNS. U Centria mi naposled technik psal, že jejich resolvery by neměly dotazy překládat, ale nic to na situaci nemění.

Jak jsem psal výše, primární problém nebyl Majordomo ani grafy, to vzniklo až při zkoumání, co a kdo mi v domácí síti žere spojení. A teď už zase pár dní klid … a Majordomo se “vyřešil” sám tím, že se mi nainstalovala RC verze 3.9 (mám zaplý RC kanál), umrtvila mi router a nějak “poškodila” i snapshoty na BTRFS SD kartě (při pokusu o rollback to popadalo na neexistující cesty), takže jsem obnovil router bez SD karty a pak už Majordomo neinstaloval (zatím).

K problému: o víkendu Majordomo doinstaluju a budu sledovat, ISP mne bude při nárustu spojení nad běžný normál informovat, tak snad pak něco z toho Majordoma vyčtu.

Edit: ale pokud ta spojení generuje něco na routeru, tak to z majordoma bohužel nepoznám (pokud se nemýlím) …

Já mám právě stejný závěr. Ještě jsem dnes zkoušel i tovární restart bez nahrání mé zálohy. A stále jsem tam, kde jsem byl i před tím. Já jsem si tohoto problému všiml již dříve, ale bylo to nárazové jako teď u tebe. Teď už se třetí týden bez VPN neobejdu.

Resil sem to pred rokem a u mne slo o bootnet ktery utoci na port 53. Tedy spojeni byly zvenci. Taky jsem to poznal na zahlceni linky. Vyresilo to nastaveni pravidla ve firewallu aby zahazoval spojeni na port 53

Aha, to není špatný nápad, realizuji hned, jak se dostanu k routeru … Díky

Díky za radu. Teda pravidla jsem na firewallu ještě nevytvářel, inspiroval jsem se v již v přednastaveném - nepovoleném síťovém pravidlu:

Jen jsem nastavil zdroj z WAN a cíl zařízení, obojí na port 53. Je to tak v pořádku?

Spojení na port 53 z WAN je defaultně zakázáno. Jinak by to byl trochu problém, protože resolvery na Turrisu poslouchají na všech adresách a daly by se tak využívat k DoS.

Rozumím, proto mi jde o to, jak správně FW nastavit. Měl jsem teď čas, tak jsem provoz sledoval. Skutečně se nejedná jen o dotazy smerem na DNS (to zřejmě dělalo majordomo), ale spoustu dotazů jde směrem od routeru na adresy na portu 53 přes UDP, které ale já neznám, např.:

Mé snahy v pravidlech síťového provozu nejsou úspěšné.

Ano, takto nějak to vypadalo i u mně …

To je standardní řešení DNS: každý dotaz z resolveru jde z nového náhodně vybraného UDP portu (a cíl je :53).

Tak mě stoupal dnes výrazně počet připojení, když jsem prováděl upload fotek z mobilu na onedrive, to jsem byl i na více jak 1500, nevím, možná náhoda, spíše to bude tou samotnou stránkou, jak už je tady psáno. Jinak ten port 53 samé dns servery gtld-servers.net, root-servers.net a nějaký ten google, akamai, arin.net, cz.nic a army.mil atd. Koukl jsem na to až jak jsem zahlédl tuto diskuzi. Ano a jak se píše výše, většina těch spojení je na root dns servery.