<div>
<div style="ZOOM:1" dir="ltr"><span lang="en"><span>another peculiarity</span> <span>that</span> <span>strikes me</span> <span>is that most</span> <span>but not all</span> <span>queries have</span> <span>ID "</span><span>1234"</span> <span>and also</span> <span>all queries</span> <span>originated</span> <span>with</span> <span>port</span> <span>3072</span> <span>always have</span> <span>ID "</span><span>1234"...</span></span></div>
</div>
<div><br>This is an example capture of one server:</div>
<div> </div>
<div># tcpdump -nni xx -s0 |grep <a href="http://a.root-servers.net">a.root-servers.net</a><br>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br>listening on bond0.307, link-type EN10MB (Ethernet), capture size 65535 bytes<br>
16:37:48.106570 IP client_1_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>16:37:48.106649 IP client_2_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>
16:37:48.106790 IP client_3_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>16:37:48.106943 IP client_4_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>
16:37:48.107519 IP client_5_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>16:37:48.108596 IP client_6_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>
16:37:48.109734 IP client_7_address.2054 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>16:37:48.110004 IP client_8_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>
16:37:48.112149 IP client_9_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>16:37:48.112727 IP client_10_address.49953 > server_address.53:  420+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>
16:37:48.113128 IP client_11_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>16:37:48.114022 IP client_12_address.3125 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>
16:37:48.114328 IP client_13_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>16:37:48.115076 IP client_14_address.3075 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>
16:37:48.116665 IP client_12_address.3125 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>16:37:48.116741 IP client_15_address.14803 > server_address.53:  85+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>
16:37:48.118208 IP client_16_address.3072 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)<br>16:37:48.118594 IP client_17_address.2054 > server_address.53:  1234+ A? <a href="http://a.root-servers.net">a.root-servers.net</a>. (36)</div>

<div> </div>
<div>I'm thinking out loud but maybe the query frequency every 2 sec., 10 sec. or 30 sec., etc.. is related to the number of devices connected behind each modem and the cause of this behavior could be multiple (ie modem config. and/or malware/trojan/DDoS tool/Botnet). </div>

<div><span class="hps">It would be</span> <span class="hps">nice to</span> <span class="hps">identify exactly why</span> <span class="hps">these queries</span> <span class="hps">are generated</span> <span class="hps">to see</span> <span class="hps">how we could proceed</span> <span class="hps">to reduce or eliminate them</span><span>.</span><br>
</div>
<div class="gmail_quote">On Fri, Mar 2, 2012 at 11:26 AM, Hannes Frederic Sowa <span dir="ltr"><<a href="mailto:hsowa@bfk.de" target="_blank">hsowa@bfk.de</a>></span> wrote:<br>
<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">
<div>On 03/01/2012 09:42 PM, Dario Aguilar wrote:<br>
<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">is a possibility but we are talking about a query every few seconds, not<br>minutes, actually. An additional fact is that queries come from<br>
thousands of different clients and the source port, in most cases is 3072.<br></blockquote><br></div>AFAIK, this port is/was associated with the DDoS tool 'juno'.<span><font color="#888888"><br><br>-- <br>Hannes Sowa                   <<a href="mailto:hsowa@bfk.de" target="_blank">hsowa@bfk.de</a>><br>
BFK edv-consulting GmbH       <a href="http://www.bfk.de/" target="_blank">http://www.bfk.de/</a><span style="MIN-HEIGHT:16px;WIDTH:16px;PADDING-RIGHT:16px"></span><br>Kriegsstraße 100              tel: +49-721-96201-1<br>
D-76133 Karlsruhe             fax: +49-721-96201-99<br></font></span></blockquote></div><br>