[connect24h:02108] DNS の応答パケット？

[Masaya Kakai <dist@xxxxxxxxx>]

  ==========　楽天ビジネス　http://business.rakuten.co.jp　=========
□■□■□■□■□■□■□■□■　●既に約3,000社の企業様がご利用中 ●
■　ビジネスサービス商談市場　□　●必要なサービス提供企業が見つかる●
□　　　★楽天ビジネス★　　　■　●素早く簡単に複数社からの見積獲得●
■□■□■□■□■□■□■□■□　●サービス提供企業の登録も受付中　●
------------------------------------------------------------------------


かかいです。

 DNSの問い合わせと応答に使われるパケットについて質問があるのですが、基本
的にはUDPが使われていて、512Bytesを越えるものにはTCPが使われる。

 使用するPortは、
問い合わせ側:SourcePort 1024以上、応答側:DistinationPort 53
Zone転送(元):SourcePort 53、転送先:DistinationPort 53

 このような認識であってますでしょうか？


 実は、 昨日個人で管理しているServerに以下のようなパケットが来ていました。

Mar 13 15:03:47 gw PP[LEASED] Rejected at IN(default) filter: UDP
xxx.xxx.128.113:32773 > MyDomainServer:3691
|
この間ずっと続く
|
Mar 13 16:36:26 gw PP[LEASED] Rejected at IN(default) filter: UDP
xxx.xxx.128.113:32773 > MyDomainServer:3691
Mar 13 16:36:59 gw last message repeated 201 times
Mar 13 16:37:44 gw last message repeated 200 times

 自ServerのUDPの3691を調べたところ、namedが使っていることが分かりました。
(NamedにHUP Signalを送ったら、上記のパケットが止まりました)

 BackDoorかなにかと思ったのですが、このパケットが来る前にNamedが以下の
ログを出していたのを見つけました。

Mar 13 15:03:51 ns named[357]: Lame server on '113.112.128.xxx.xxx.in-addr.arpa'
(in '112.128.xxx.xxx.in-addr.arpa'?): [xxx.xxx.75.2].53 'dns02.xxx.xx.jp'

 このログのDNS(xxx.xxx.75.2)は発信元IPを持っているDomainのSecondary DNS
らしいのですが、おかしな事にPrimaryらしきDNSは問い合わせ自体に応答せず、
このSecondaryの方は正引きは返すものの、逆引きでエラー(登録なし)のエラー
をだします。

※発信元IPのDomainですが、Secondary DNSは他の会社のサーバに割り当てられ
  ています。

 ここにきて分かったのですが、Primaryへの問い合わせを行なうと私のServer側
のDNSが永遠とPrimaryへの問い合わせの為のパケットを投げつづけてしまうよう
なのです。
(UDP:MyDomainServer:3??? -> xxx.xxx.128.113:53を)

 一番上のログはこれに応答するパケットなのでしょうか？もしそうだとしても、
UDP:xxx.xxx.128.113:53 -> MyDomainServer:3???  このような形になると思う
のですが。

 サーバの管理を始めて２年くらい経つのですが、このような事象は初めてです。 
 この事象について、どなたかご存知の方はいらっしゃいますでしょうか。


 ちなみに上記の永久RetryはTurboLinux3.0上でTarballからInstallしたbind
8.2.3、Kondara/MNU Linux 2000でRPMでいれたbind 8.2.3でも発生します。
(/etc/named.confも引用した方が良いのでしょうか?)



 現在、この事象について発信元の会社に連絡してあり、確認中の状態です。

--
----
抱井 将哉
E-mail:dist@xxxxxxxxx
----
--