множественные DNS запросы на dnl-XX.geo.kaspersky.com.

Все остальное

множественные DNS запросы на dnl-XX.geo.kaspersky.com.

Сообщение root » 29 сен 2009, 16:50

Кто нить видел подобное ?
TCPDUMP:
Код: Выделить всё
17:48:54.918667 IP 10.10.41.25.60558 > 10.20.1.4.53:  37607+ A? dnl-00.geo.kaspersky.com. (42)
17:48:54.918860 IP 10.20.1.4.53 > 10.10.41.25.60558:  37607 1/4/4 A[|domain]
17:48:57.911652 IP 10.10.41.25.55325 > 10.20.1.4.53:  10051+ A? dnl-01.geo.kaspersky.com. (42)
17:48:57.911886 IP 10.20.1.4.53 > 10.10.41.25.55325:  10051 1/4/4 A[|domain]
17:48:57.915451 IP 10.10.41.25.52424 > 10.20.1.4.53:  52889+ A? dnl-02.geo.kaspersky.com. (42)
17:48:57.915621 IP 10.20.1.4.53 > 10.10.41.25.52424:  52889 1/4/4 A[|domain]
17:48:57.919384 IP 10.10.41.25.53980 > 10.20.1.4.53:  61875+ A? dnl-03.geo.kaspersky.com. (42)
17:48:57.919522 IP 10.20.1.4.53 > 10.10.41.25.53980:  61875 1/4/4 A[|domain]
17:48:57.922921 IP 10.10.41.25.63249 > 10.20.1.4.53:  2202+ A? dnl-04.geo.kaspersky.com. (42)
17:48:57.923064 IP 10.20.1.4.53 > 10.10.41.25.63249:  2202 1/4/4 A[|domain]
17:48:57.926776 IP 10.10.41.25.53656 > 10.20.1.4.53:  20781+ A? dnl-05.geo.kaspersky.com. (42)
17:48:57.926919 IP 10.20.1.4.53 > 10.10.41.25.53656:  20781 1/4/4 A[|domain]
17:48:57.930310 IP 10.10.41.25.50752 > 10.20.1.4.53:  41414+ A? dnl-06.geo.kaspersky.com. (42)
17:48:57.930451 IP 10.20.1.4.53 > 10.10.41.25.50752:  41414 1/4/4 A[|domain]
17:48:57.934012 IP 10.10.41.25.56003 > 10.20.1.4.53:  37992+ A? dnl-07.geo.kaspersky.com. (42)
17:48:57.934151 IP 10.20.1.4.53 > 10.10.41.25.56003:  37992 1/4/4 A[|domain]
17:48:57.937864 IP 10.10.41.25.59078 > 10.20.1.4.53:  54217+ A? dnl-08.geo.kaspersky.com. (42)
17:48:57.938005 IP 10.20.1.4.53 > 10.10.41.25.59078:  54217 1/4/4 A[|domain]
17:48:57.942153 IP 10.10.41.25.57288 > 10.20.1.4.53:  32455+ A? dnl-09.geo.kaspersky.com. (42)
17:48:57.942291 IP 10.20.1.4.53 > 10.10.41.25.57288:  32455 1/4/4 A[|domain]
17:48:57.945485 IP 10.10.41.25.56769 > 10.20.1.4.53:  9637+ A? dnl-10.geo.kaspersky.com. (42)
17:48:57.945625 IP 10.20.1.4.53 > 10.10.41.25.56769:  9637 1/4/4 A[|domain]
17:48:57.949534 IP 10.10.41.25.64549 > 10.20.1.4.53:  64944+ A? dnl-11.geo.kaspersky.com. (42)
17:48:57.949721 IP 10.20.1.4.53 > 10.10.41.25.64549:  64944 1/4/4 A[|domain]
17:48:57.953621 IP 10.10.41.25.52094 > 10.20.1.4.53:  55621+ A? dnl-12.geo.kaspersky.com. (42)
17:48:57.953934 IP 10.20.1.4.53 > 10.10.41.25.52094:  55621 1/4/4 A[|domain]
17:48:57.958181 IP 10.10.41.25.51928 > 10.20.1.4.53:  1596+ A? dnl-13.geo.kaspersky.com. (42)
17:48:57.958326 IP 10.20.1.4.53 > 10.10.41.25.51928:  1596 1/4/4 A[|domain]
17:48:57.961569 IP 10.10.41.25.64276 > 10.20.1.4.53:  16307+ A? dnl-14.geo.kaspersky.com. (42)
17:48:57.961723 IP 10.20.1.4.53 > 10.10.41.25.64276:  16307 1/4/4 A[|domain]
17:48:57.965424 IP 10.10.41.25.63916 > 10.20.1.4.53:  44811+ A? dnl-15.geo.kaspersky.com. (42)
17:48:57.965567 IP 10.20.1.4.53 > 10.10.41.25.63916:  44811 1/4/4 A[|domain]
17:48:57.969139 IP 10.10.41.25.59924 > 10.20.1.4.53:  16297+ A? dnl-16.geo.kaspersky.com. (42)
17:48:57.969320 IP 10.20.1.4.53 > 10.10.41.25.59924:  16297 1/4/4 A[|domain]
17:48:57.972922 IP 10.10.41.25.56669 > 10.20.1.4.53:  43507+ A? dnl-17.geo.kaspersky.com. (42)
17:48:57.973064 IP 10.20.1.4.53 > 10.10.41.25.56669:  43507 1/4/4 A[|domain]
17:48:57.976427 IP 10.10.41.25.49978 > 10.20.1.4.53:  56893+ A? dnl-18.geo.kaspersky.com. (42)
17:48:57.976592 IP 10.20.1.4.53 > 10.10.41.25.49978:  56893 1/4/4 A[|domain]
17:48:57.980279 IP 10.10.41.25.58304 > 10.20.1.4.53:  56312+ A? dnl-19.geo.kaspersky.com. (42)
17:48:57.980449 IP 10.20.1.4.53 > 10.10.41.25.58304:  56312 1/4/4 A[|domain]

т.е. начинается с dnl-00.geo.kaspersky.com и до dnl-19.geo.kaspersky.com и заново с dnl-00.geo.kaspersky.com до dnl-19.geo.kaspersky.com
и так до бесконечности....

Касперский млять.... чего он так дрючит эти хосты ?

и такая хня не у одного абонента, а у многих
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: множественные DNS запросы на dnl-XX.geo.kaspersky.com.

Сообщение root » 29 сен 2009, 18:19

позвонил в тех.поддержку Касперского.
там сказали что он из себя весь модульный и каждый модуль обновляется отдельно, а так же что мол обновления могут выходить чуть ли не каждые пол часа, а по дефолту стоит галочка "Автоматическое обновление", а не жестко заданный промежуток времени через который долбиться или по расписанию
на мои законные вопросы:
1. "а зачем он по кругу перебирает столько хостов?" - был получен ответ след. плана:
А обновления могут лежать на разных серверах, вот он их и перебирает - типа ищет

2. "это происходит почти каждую секунду !" - был получен ответ след. плана:
Продуктам Касперсского требует постоянное подключение к Инету из-за проверки лицензионного соглашения, он проверяет ключи

типа того не сперли ли ключ у какого то юза и не пользуется ли одним ключом несколько компов
вот так вот

"спасибо большое" Касперскому за нагрузку на DNS службу, клевая реализация собственных проблем

сказали что если меня не устраивает ответ и я хочу более подробной инфы нуна писать письмо
чем и займусь, т.к. это хрень полная.

а пока dnstop показывает след. статистику:
Код: Выделить всё
Query Name               Count      %
-------------------- --------- ------
kaspersky.com           206459   23.9
vkontakte.ru            133663   15.3
mail.ru                  36758    4.2
.....

и это менее чем за пол часа
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: множественные DNS запросы на dnl-XX.geo.kaspersky.com.

Сообщение root » 01 окт 2009, 11:49

ответы Касперского:
kaspersky.com писал(а):пришлите пжалста ещё данных

kaspersky.com писал(а):В настоящее время мы разбираемся с ситуацией, как только что-то прояснится, мы сразу же Вам сообщим.
Спасибо.


Последний их ответ:
kaspersky.com писал(а):1. Странно, что tcpdump -s 128 -ni vlan2 host 10.10.52.203 дает в логе только DNS- трафик. Посмотрите, пожалуйста, что с запросами к нашим даунлоадсам. (dnl-*.geo.kaspersky.com)

2. Что у Вас со стабильностью соединения? Такое поведение (перебор адресов серверов обновлений по кругу) - алгоритм работы нашего апдейтера, если он не может получить обновление. Почему он не может это сделать - вопрос уже другой, для этого надо смотреть лог на стороне клиента. Нам жалоб на недоступность серверов обновлений не поступало, поэтому можно предположить, что какие-то проблемы у провайдера.

3. По логу присланному : по заявлениям разработчиков, перебор имен серверов должен быть не последовательным, а в случайном порядке.

4. Давайте, чтобы упорядочить нашу с Вами переписку Вы создадите запрос в форме helpdesk через персональный кабинет, так нам будет намного проще с Вами общаться.

Спасибо.

Ну и мой ответ им:

kaspersky.com писал(а): 1. Странно, что tcpdump -s 128 -ni vlan2 host 10.10.52.203 дает в логе только DNS- трафик. Посмотрите, пожалуйста, что с запросами к нашим даунлоадсам. (dnl-*.geo.kaspersky.com)

root писал(а):ничего странного в этом нет, объясню почему:
клиенты получают Интернет через PPPoE туннели на "VPN" серверах, в которых даже IP-адресация другая, а это локальный (внутренний) DNS сервер,
поэтому в этом влане другого трафика к DNS серверу от клиентов и быть не должно, только DNS запросы.


kaspersky.com писал(а):> 2. Что у Вас со стабильностью соединения?

root писал(а):проблем с этим у нас нет. потери в сети отсутствуют, вот например статистика пинга до некоторых ваших адресов:
ping -s 1400 -i0.1 93.191.13.100
--- 93.191.13.100 ping statistics ---
104 packets transmitted, 104 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.958/1.157/2.601/0.214 ms

ping -s 1400 -i0.1 62.213.110.18
--- 62.213.110.18 ping statistics ---
203 packets transmitted, 203 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.568/1.692/2.146/0.088 ms


kaspersky.com писал(а):Такое поведение (перебор адресов серверов обновлений по кругу) - алгоритм работы нашего апдейтера

root писал(а):но почему он не использует DNS кеш ? Зачем каждый раз обращаться к DNSу ?


kaspersky.com писал(а):если он не может получить обновление. Почему он не может это сделать - вопрос уже другой, для этого надо смотреть лог на стороне клиента

root писал(а):а вот теперь все стало предельно понятно.
да действительно DNS запросами долбят те клиенты, которые не имеют на текущй момент подключения PPPoE, а как следствие Интернета.

В связи с этим вопросы:
а) Не сложно ведь проверить наличие тырнета на машине, прежде чем долбить.
б) зачем долбиться каждую секунду если Инета на компе нет ? неужели нельзя делать паузы ? я понимаю сетки из 100 компов этого и не замечают, а вот сети из 1000-сяч компьютеров...
мало того, что это ненужный DNS запрос, так ведь это трафик. Да он копеешный, но если сложить копеешный трафик от 1000 машин, то получаются далеко не копейки.


kaspersky.com писал(а): 3. По логу присланному : по заявлениям разработчиков, перебор имен серверов должен быть не последовательным, а в случайном порядке.

root писал(а):я не знаю что говорят разработчики, но я привык доверять тому что показывает tcpdump и видят мои глаза.
в логах отображено то как есть на самом деле. получается ошибка в коде ?


kaspersky.com писал(а): 4. Давайте, чтобы упорядочить нашу с Вами переписку Вы создадите запрос в форме helpdesk через персональный кабинет, так нам будет намного проще с Вами общаться.

root писал(а):если вы объясните как это сделать не зная какой это продукт и не зная "Ваш «Номер Клиента»" + "Пароль"
ввод которых требуется вот тут: http://support.kaspersky.ru/helpdesk.html
то с удовольствием с Вами пообщаюсь и постораюсь предоставить все запрашиваемые вами данные.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: множественные DNS запросы на dnl-XX.geo.kaspersky.com.

Сообщение root » 06 окт 2009, 11:02

забыл запостить след. ответ от касперских:
Данная информация была передана разработчикам.
Мы сообщим Вам о результатах.
Спасибо.


посмотрим, что там надумают разработчики :)

З.Ы. Ещё раз убеждаюсь в истине: "Мы сами не знаем как это работает" :D
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: множественные DNS запросы на dnl-XX.geo.kaspersky.com.

Сообщение Negator » 08 ноя 2009, 01:13

Вставлю 5 копеек.
А если у них тырнета нет, то может попробовать посылать всех абонентов на 127.0.0.1.
Negator
новичок
 
Сообщения: 7
Зарегистрирован: 20 авг 2009, 23:41


Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10