Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1987 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.200] - Tons of DNS Drops

number2jcb
I don't understand why this is happening.  I have all clients set to use the 2 WIndows DNS Servers as Primary and Secondary.  Both of those servers are set to forward to the astaro and not allow recursion.  Why all these drops?



The top 10 Dropped Destinations for the spike day:
1  208.67.220.220 resolver2.opendns.com 1 455 5.41% 
2  208.67.222.222 resolver1.opendns.com 1 455 5.41% 
3  209.191.0.2 admin.monmouth.com 1 455 5.41% 
4  192.36.148.17 i.root-servers.net 1 454 5.41% 
5  192.228.79.201 b.root-servers.net 1 454 5.41% 
6  198.41.0.4 a.root-servers.net 1 454 5.41% 
7  209.191.0.1 dns1.monmouth.com 1 454 5.41% 
8  128.8.10.90 d.root-servers.net 1 453 5.41% 
9  128.63.2.53 h.root-servers.net 1 453 5.41% 
10  192.5.5.241 f.root-servers.net 1 453 5.41% 

Top 10 Dropped Services:
1 DOMAIN UDP 53 23,282 86.71%


This thread was automatically locked due to age.
Parents
  • 0
    Hi,
    I don't fully understand either, because I have posted a number of threads on the subject. 

    Best I can workout is that your ISP is using the top level DNS boxes as the reference or forwarders rather than using their own DNS boxes as key box, the word i am looking for escapes me for the moment.

    What you do about it I don't know.

    Ian M
Reply
  • 0
    Hi,
    I don't fully understand either, because I have posted a number of threads on the subject. 

    Best I can workout is that your ISP is using the top level DNS boxes as the reference or forwarders rather than using their own DNS boxes as key box, the word i am looking for escapes me for the moment.

    What you do about it I don't know.

    Ian M
Children
  • 0 in reply to RFCat_vk_01
    When I think about it, I feel like it is a DNAT/SNAT error.  The report shows that the top destination hosts that are being dropped are all the external IPs of my internet servers.  Is it possible that the DNS forward is starting with the right internal IP, but once it is forwarded through the astaro the connection isn't handled properly?  The DNS response coming back is being handled like a new incoming request.
  • 0 in reply to number2jcb
    I was offered an answer in one of the other threads, not a solution, but a reason why. It would appear as though one of the processes is starting faster then the something else.

    is your ASG a dual processor or a single processor?

    Just a thought, that one CPU has all the light processes and the other has all the heavy and takes a while to works it way through.

    Ian M
  • 0 in reply to RFCat_vk_01
    I have a ASG 220, so single proc.  I see lots of errors in the DNS log.  I don't really know what to make of them.