Raspberry Pi versucht permanet DNS-Namen abzufragen

  • Hallo liebes Forum,

    ich hoffe ich bin hier richtig! Ich habe mehrere Pi's in einem WLAN-Netzwerk die untereinander Kommunizieren. Das Netzwerk ist nicht am Internet angebunden.

    Nun wurde ich von unserer IT darauf aufmerksam gemacht, dass die Pi`s permanent versuchen DNS-Namen abzufragen (siehe Bild)... Mit der Angst, dass das unser Netzwerk zum erliegen bringt, soll ich nun dafür sorgen dass die Pi´s dies nicht mehr tun.

    Ich habe nur leider nicht mal ansatzweise eine Idee woran das liegt, bzw. was das verursacht.

    Installiert ist Raspbian über NOOBS, sonst eigentlich nichts nennenswertes. Quasi frisches Betriebssystem....

    Genutzt werden die Pis als Server-Client-Anwendung um LEDs Ein und Aus zu schalten. Das Programm habe ich selbst geschrieben (Python)

    Kann mir irgendwer hierbei weiterhelfen?

    Liebe Grüße

    Christian

  • Raspberry Pi versucht permanet DNS-Namen abzufragen? Schau mal ob du hier fündig wirst!

  • Moin Snakecity,

    kann es sein das die RPi's nach einen Zeitserver suchen??

    Gruss Bernd

    Ich habe KEINE Ahnung und davon GANZ VIEL!!
    Bei einer Lösung freue ich mich über ein ":thumbup:"
    Vielleicht trifft man sich in der RPi-Plauderecke.
    Linux ist zum Lernen da, je mehr man lernt um so besser versteht man es.

  • ... Mit der Angst, dass das unser Netzwerk zum erliegen bringt, soll ich nun dafür sorgen dass die Pi´s dies nicht mehr tun.

    Die schnelle/sofortige Lösung (... wenn kein DNS erforderlich) wäre z. B.:

    Code
    sudo iptables -I OUTPUT 1 -o <output-Interface> -p udp --dport 53 -j REJECT
    sudo iptables -I OUTPUT 2 -o <output-Interface> -p tcp --dport 53 -j REJECT

    (BTW: Diese Regeln sind nicht persistent).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Wie man sieht erzeugen alle Raspis diesen DNS Traffic auf 8.8.8.8. D.h. da liegt ein prinzipielles Problem vor :denker:. Der Vorschlag von rpi444 auf allen Raspis ausgefuehrt blocked erst einmal alle Requests :).

    Du solltest dann aber rausfinden welches Programm auf der Raspi diese DNS Anfragen rausschickt und das fixen. Wie man nun rausbekommen kann wer so viele Requests an 8.8.8.8:53 schickt weiss ich nicht genau. Vermutlich irgendwie mit tcpdump, wireshark oder netstat.

  • Pi's in einem WLAN-Netzwerk die untereinander Kommunizieren. Das Netzwerk ist nicht am Internet angebunden

    Hast du einen gültigen dns-Server im WLAN, der auf den RPis auch konfiguriert ist?

    sudo grep -r '8.8.8.8' /etc/*

    War es nicht systemd-resolved, der google als default fallback benutzt?

    Wenn du nichts zu sagen hast, sag einfach nichts.

  • Hallo zusammen,

    erstmal vielen Dank für die raschen Antworten, super Forum!!!

    rpi444:

    Der Ansatz war erstmal vielversprechend, die DNS Requests sind zwar weg, allerdings „broadcastet“ der Rechner jetzt ins komplette Netzwerk was eigentlich noch schlimmer ist.

    framp: Ich bin da voll bei dir,ich muss herausfinden welches Programm auf den Raspis diese DNS Anfragen rausschickt! Aber wie?

    llutz: Ja, ich habe einen gültigen DNS Server im WLAN. Systemd-resolved ist es nicht, da ausgerautet (#), siehe Screen im Anhang!


    Ich komme da echt nicht weiter! Die EDV droht mir schon die PI`s raus zu schmeißen. (Verständlich, aber für mich ne Katastrophe!!)

    Vielen Dank euch

    Gruß

    Christian

  • rpi444:

    Der Ansatz war erstmal vielversprechend, die DNS Requests sind zwar weg, allerdings „broadcastet“ der Rechner jetzt ins komplette Netzwerk was eigentlich noch schlimmer ist.

    Das kann man auch blockieren. Zeig mal ein Beispiel.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • ich hoffe ich bin hier richtig! Ich habe mehrere Pi's in einem WLAN-Netzwerk die untereinander Kommunizieren. Das Netzwerk ist nicht am Internet angebunden.

    Wenn das Netzwerk kein Gateway ins Internet hat, dann gibt es auch keinen DNS Server. Die DHCP-Clients (Pis) verlangen vom DHCP-Server aber alle Angaben, die in /etc/dhcp/dhclient.conf (vor)eingestellt sind.

    Die dort eingetragenen requests würde ich einmal auf ein Minimum kürzen.

    Z.B. testweise:

    Spoiler anzeigen

    request subnet-mask, broadcast-address, time-offset, routers,

    domain-name, domain-name-servers, domain-search, host-name,

    dhcp6.name-servers, dhcp6.domain-search, dhcp6.fqdn, dhcp6.sntp-servers,

    netbios-name-servers, netbios-scope, interface-mtu,

    rfc3442-classless-static-routes, ntp-servers;

    Servus !

    RTFM = Read The Factory Manual, oder so

  • Hallo zusammen,

    RTFM: Ich habe den Pis allen eine statische IP verpasst. Weiter habe ich die requests nach deinem Beispiel reduziert, nur leider habe ich damit immer noch nicht den gewünschten Erfolg!

    Es scheint irgendein Programm/App diese Anfragen zu verursachen! Hat jemand eine Idee wie ich da vorgehen kann???

    Vielen Dank für eure Hilfe

    Gruß

    Christian

  • Wenn Deine Pis alle static konfiguriert sind, also selbst eine eigene IP Adresse haben, brauchst Du überhaupt keinen DHCP Server, also dreh den Client ganz ab. Und den Time Server von dem internen Netz trägst Du bei jedem Pi direkt ein. Wenn es im Netz keinen Time Server gibt, dreh auch den Time Server Client ab. Ein Tool, dass periodisch nach Software Updates sucht, hast Du hoffentlich nicht nachinstalliert. Ausser Schadsoftware fällt mir nichts mehr ein, was ins Netz zu senden versucht.

    In den Logfiles sollten aber erfolglose verbindungsversuche erkennbar sein, allenfalls dem Loglevel kurzfristig erhöhen. Auch im "ps aux" fällt so ein Daierverbindungssucher in den Spalten CPU und Time auf.

    Servus !

    RTFM = Read The Factory Manual, oder so

  • Da mich das Thema interessiert habe ich mal etwas im Netz gesucht. Dabei habe ich auditctl gefunden und erfolgreich alle ProcIDs geliefert bekommen, die sich im Netz rumtreiben. Auf meinem Desktop. Leider ist audit auf Raspian im kernel nicht enabled :(

    Die andere elegente Moeglichkeit

    Code
    lsof -i :53

    hilft leider nicht da die DNS Requests zu kurzlebig sind.

  • Du hast in der "/etc/resolv.conf" und in der "/etc/dhcpd.conf" jeweils als Nameserver den 8.8.8.8 stehen.

    Der Eintrag ist lt. Screenshot in dhcpcd.conf auskommentiert.

    Aber korrekt, der Nameserver 8.8.8.8 wird in /etc/resolv.conf gesetzt und somit natürlich benutzt. Darum empfahl ich weiter oben (#7) zu schauen, wer den setzt (statisch, resolvconf, systemd, dhcpxx, ...).

    Wenn du nichts zu sagen hast, sag einfach nichts.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!