Gerät im Netzwerk kontaktiert Domain "."

[DocAndy]

Guten Abend an die Community,

ich habe ein etwas seltsame Frage, bei der ich einfach nicht weiterkommen: ich benutze Pi-Hole mit DoH mittels Cloudflared, funktioniert alles prima. Ich habe bei uns im Haus eine Lüftungsanlage, die zur Steuerung am Netz hängt. Diese Lüftungsanlage funkt täglich ca. 500000mal die Domain "." an. Der Pi-Hole lässt das durch, aber ist ja irgendwie sinnlos und verstopft mein Query Log und meine ganze Statistik. An der Anlage lässt sich nichts in Sachen Internet einstellen, aber kann sich jemand erklären, was "." sein könnte? Ach ja, ohne DoH gab es diesen Request nicht.

Viele Grüße
Andy

 

[Sephe]

. ist die Root-Zone. Aus optischen und bequemlichkeitsgründen wird der letzte "." nicht mitgeschrieben.
Eigentlich müsste es heißen: www.google.com.

"." ist die Root Zone, wo alle TLDs weltweit gelistet sind.
Dann kommt die TLD "com" -> Dort sind alle Domains zu finden, wie auf ".com" enden.
usw.

 

[DocAndy]

Interessant, aber was will dann die Lüftungsanlage? Sie kontaktiert....root??

 

[Sephe]

Einige Hersteller machen das, um DNS Spoofing vorzubeugen.
Dadurch sucht sich das Gerät selbst einen für die Zieldomain passenden DNS Server und fragt dort nach.

(So kann dein Pi-Hole die Namensauflösung nicht manipulieren und blocken).

 

[DocAndy]

Könnte es auch sein, dass die Anlage nicht mit dem DoH zurechtkommt? Ich hatte ohne Cloudflared diese Anfragen nicht.

 

[M-X]

DoH geht doch erst ab deiner PI los oder ? Dh die Anlage schickt ganz norma DNS requests auf Port 53 unverschlüsselt an die Pi ?

 

[DocAndy]

Stimmt, meine Aussage ist Quatsch. Dann ist es noch merkwürdiger.

 

[M-X]

Wenn du DoH ausmachst funktioniert es dann wieder ?

 

[DocAndy]

Ja ohne DoH sind die "."-Requests weg.

Ergänzung (21. Juni 2022)

Moment, update, die Requests sind noch da, aber es sind viel weniger an".", dafür jetzt mehr Requests an pool.ntp.org (das sind Zeitserver, klar, aber das Gerät fragt die ca. 10mal pro Minute an).

Ergänzung (21. Juni 2022)

Nochmal eine Frage: die Requests an "." werden jetzt laut Query Log von dns.google beantwortet, die Antwort ist SERVFAIL, was bedeutet das?

 

[Raijin]

Nur mal so: DNS-Einträge haben eine Lebensdauer, die sogenannte TTL. Wenn diese abgelaufen ist, gilt der DNS-Eintrag als ungültig. Das Betriebssystem löscht den Eintrag aus dem Cache und stellt einen neuen DNS-Query, um den Eintrag zu erneuern. pool.ntp.org hat eine TTL von 150 Sekunden, also 2 1/2 Minuten. Nach Ablauf dieser Zeit ist der Eintrag im DNS-Cache ungültig und das Betriebsystem fragt erneut nach.

Häufige DNS-Queries sind daher nicht zwingend ein Zeichen für ein Endgerät, das dir das Netzwerk zuballern will, sondern rühren eben auch teilweise daher, dass der DNS-Eintrag einfach zu schnell abläuft und aktualisiert werden muss.

Warum ist die TTL denn so kurz? Das liegt gerade bei solchen Pool-Domains daran, dass mit jedem Zyklus die IP-Adresse eines anderer Servers aus dem Pool zurückgegeben wird. Das dient der Lastverteilung und so wird jeder Server im Pool reihum benutzt.

 

[DocAndy]

Interessant, aber warum ist die Antwort auf die Requests SERVFAIL, das heisst doch, dass auch Google nichts mit der Anfrage an "." anfangen kann, oder?

 

[Raijin]

Ich bezog mich explizit auf deine erste Ergänzung in #9.wo du dich über die Häufigkeit der Queries zu pool.ntp.org gewundert hast. Die zweite Ergänzung war noch nicht da als ich zu antworten anfing.

 

[DocAndy]

Das mit TTL hab ich verstanden, ich hab auch auf der Webseite von Pool.org über die Zeitserver nachgelesen, sehr interessant. Das mit dem Servfail ist mir später noch aufgefallen.

 

[DocAndy]

Okay, jetzt lief der Pi den ganzen Tag ohne DoH, die Zahl an "."-Requests ist aber wieder bei 480000. DoH ist also nicht das Problem. Ich suche weiter...