
<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt"><div><span>We have been monitoring the same.</span></div><div><span><br></span></div><div><span>Google found an unrelated, yet similar, issue a few years ago:  http://pages.cs.wisc.edu/~plonka/netgear-sntp/#ToC16<br></span></div><div><br></div><div><br><blockquote style="border-left: 2px solid rgb(16, 16, 255); margin-left: 5px; margin-top: 5px; padding-left: 5px;">  <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div dir="ltr"> <font face="Arial" size="2"> <hr size="1">  <b><span style="font-weight:bold;">From:</span></b> Rafael Molina <rafael.molina@interlink.net.ve><br> <b><span style="font-weight: bold;">To:</span></b> bind-users@lists.isc.org <br> <b><span style="font-weight:

 bold;">Sent:</span></b> Thursday, June 28, 2012 8:30 AM<br> <b><span style="font-weight: bold;">Subject:</span></b> A lot of queries from a customer.<br> </font> </div> <br>

<br>> Hi,<br>> <br>> Recently, I have been watching on one DNS server a lot of queries from a customer to ¨<a target="_blank" href="http://time-b.netgear.com/">time-b.netgear.com</a>¨  (Maybe a Netgear´s NTP server).<br>> <br>> About 1000 queries per minute.<br>> <br>> tail -f /var/log/bind9-query.log | grep time-b.netgear.com<br>> <br>> 21-Jun-2012 12:50:53.003 client 186.14.xx.xx#32770: query: time-b.netgear.com IN A + (10.1.xx.xx)<br>> 21-Jun-2012 12:50:53.003 client 186.14.xx.xx#32770: query: time-b.netgear.com IN A + (10.1.xx.xx)<br>> 21-Jun-2012 12:50:53.003 client 186.14.xx.xx#32770: query: time-b.netgear.com IN A + (10.1.xx.xx)<br>> 21-Jun-2012 12:50:53.008 client 186.14.xx.xx#32770: query: time-b.netgear.com IN A + (10.1.xx.xx)<br>> 21-Jun-2012 12:50:53.009 client 186.14.xx.xx#32770: query: time-b.netgear.com IN A + (10.1.xx.xx)<br>> 21-Jun-2012 12:50:53.009 client 186.14.xx.xx#32770: query:

 time-b.netgear.com IN A + (10.1.xx.xx)<br>> 21-Jun-2012 12:50:53.015 client 186.14.xx.xx#32770: query: time-b.netgear.com IN A + (10.1.xx.xx)<br>> 21-Jun-2012 12:50:53.015 client 186.14.xx.xx#32770: query: time-b.netgear.com IN A + (10.1.xx.xx)<br>> 21-Jun-2012 12:50:53.015 client 186.14.xx.xx#32770: query: time-b.netgear.com IN A + (10.1.xx.xx)<br>> <br>> tcpdump -i eth0 port 53 and host 186.14.xx.xx<br>> <br>> 12:54:28.375374 IP 186.14.xx.xx.32770 > inter.net.ve.domain: 16150+ A? time-b.netgear.com. (36)<br>> 12:54:28.375479 IP 186.14.xx.xx.32770 > inter.net.ve.domain: 16150+ A? time-b.netgear.com. (36)<br>> 12:54:28.375507 IP 186.14.xx.xx.32770 > inter.net.ve.domain: 16150+ A? time-b.netgear.com. (36)<br>> 12:54:28.375553 IP 186.14.xx.xx.32770 > inter.net.ve.domain: 16150+ A? time-b.netgear.com. (36)<br>> 12:54:28.375638 IP 186.14.xx.xx.32770 > inter.net.ve.domain: 44669+ A? time-b.netgear.com.

 (36)<br>> 12:54:28.376424 IP inter.net.ve.domain > 186.14.xx.xx.32770: 16150 2/13/3 CNAME nsone.netgear.com., A 209.249.181.21 (343)<br>> 12:54:28.376525 IP inter.net.ve.domain > 186.14.xx.xx.32770: 16150 2/13/3 CNAME nsone.netgear.com., A 209.249.181.21 (343)<br>> 12:54:28.376807 IP inter.net.ve.domain > 186.14.xx.xx.32770: 16150 2/13/3 CNAME nsone.netgear.com., A 209.249.181.21 (343)<br>> 12:54:28.376845 IP inter.net.ve.domain > 186.14.xx.xx.32770: 16150 2/13/3 CNAME nsone.netgear.com., A 209.249.181.21 (343)<br>> 12:54:28.376906 IP inter.net.ve.domain > 186.14.xx.xx.32770: 44669 2/13/3 CNAME nsone.netgear.com., A 209.249.181.21 (343)<br>> 12:54:28.381638 IP 186.14.xx.xx.32770 > inter.net.ve.domain: 44669+ A? time-b.netgear.com. (36)<br>> 12:54:28.381693 IP 186.14.xx.xx.32770 > inter.net.ve.domain: 62683+ A? time-b.netgear.com. (36)<br>> 12:54:28.381745 IP 186.14.xx.xx.32770 > inter.net.ve.domain: 50898+

 A? time-b.netgear.com. (36)<br>> 12:54:28.381869 IP inter.net.ve.domain > 186.14.xx.xx.32770: 44669 2/13/3 CNAME nsone.netgear.com., A 209.249.181.21 (343)<br>> 12:54:28.382011 IP inter.net.ve.domain > 186.14.xx.xx.32770: 62683 2/13/3 CNAME nsone.netgear.com., A 209.249.181.21 (343)<br>> 12:54:28.382058 IP inter.net.ve.domain > 186.14.xx.xx.32770: 50898 2/13/3 CNAME nsone.netgear.com., A 209.249.181.21 (343)<br>> <br>> I don´t find the ways to limit of queries per minutes on this customer<br>> Is it possible in Bind9 a filtering these queries, to limit the responses ?<br>> <br>> Thank in advance,<br>> <br>> Below, I´ve attached my configuration<br>> <br>> OS: ubuntu 11.10<br>> Bind: 9.7.3.dfsg-1ubuntu4.1<br>> <br>> named.conf.options<br>> <br>> allow-recursion { corp; };<br>> allow-query-cache { corp; };<br>> <br>> corp : clients.<br>> <br>> allow-query { any; };<br>> 

        clients-per-query 10 ;<br>>         max-clients-per-query 20 ;<br>>         blackhole { bogusnets; };<br>>         version "I hope this is a joke !";<br>>         edns-udp-size 512;<br>>         max-udp-size 512;<br>>         recursive-clients 1000;<br>>   max-cache-size 500M;<br>>         tcp-clients 500;<br>>         max-cache-ttl 43200; # 12 Hours<br>>         max-ncache-ttl 900; # 15 min<br>> <br>> Saludos,<br>> <br>> Atentamente,<br>> Rafael J. Molina Q.<br>> www.inter.com.ve<br>> <br>> <br><br><br><br>_______________________________________________<br>Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a>

 to unsubscribe from this list<br><br>bind-users mailing list<br><a ymailto="mailto:bind-users@lists.isc.org" href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br><a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br><br><br> </div> </div> </blockquote></div>   </div></body></html>