UDM spamt pihole mit .in-addr.arpa Abfragen

**TheFreeman** · 7. Oktober 2024

Danke. Genau danach habe ich gesucht. 👍

**razor** · 7. Oktober 2024

Zitat von gierig

Machst du SSH auf die UDM

tcpdump -I any -n port 56 und schau dir an wer wann wohin DNS macht.

Das werde ich auch prüfen. Danke für den Hinweis.

**gierig** · 7. Oktober 2024

Zitat von razor

Das werde ich auch prüfen. Danke für den Hinweis.

Da die Konsolen Aussage immer ein wenig doof ist und scrollen kein Spaß macht oder man nicht "stundenlang" davor hocken will:

tcpdump -I any -n port 56 -w /root/capture.pcap --print

schriebt ein PCAP file ins root Verzeichnis... das kann man dann locker

mit Wireshark sich auf einem richtigen Computer ziehen und besser auswerten.

**TheFreeman** · 7. Oktober 2024

Das Problem ist nur....

Code

~# tcpdump -I any -n port 56
tcpdump: eth8: That device doesn't support monitor mode

**gierig** · 7. Oktober 2024

Dann wirst du einzelne Interfaces Capture dürfen also "-i br0" für das Vlan1 oder "-i br23" für Vlan23.

Du hast ja ggf. nur das eine VLAN wo die die anfragen siehst...

**TheFreeman** · 7. Oktober 2024

Hmm.... Ich hab das jetzt schon ne Stunde im TMUX laufen....
Aber da kommt nichts..... Zumindest nicht über die VLANs

Aber da es sich um TCPdump hadelt..... Im piHole steht doch etwas von UDP, oder?

Code

Oct  7 13:07:01 dnsmasq[22173]: query[PTR] b._dns-sd._udp.0.0.168.192.in-addr.arpa from 192.168.0.254
Oct  7 13:07:01 dnsmasq[22173]: query[PTR] b._dns-sd._udp.0.0.168.192.in-addr.arpa from 192.168.0.254
Oct  7 13:07:01 dnsmasq[22173]: query[PTR] b._dns-sd._udp.0.0.168.192.in-addr.arpa from 192.168.0.254
Oct  7 13:07:01 dnsmasq[22173]: query[PTR] b._dns-sd._udp.0.0.168.192.in-addr.arpa from 192.168.0.254
Oct  7 13:07:01 dnsmasq[22173]: query[PTR] b._dns-sd._udp.0.0.168.192.in-addr.arpa from 192.168.0.254

Also mit tcpdump -i br0 | grep mdns kommt jede Menge.
Hier mal ein Auszug:

Code

15:13:14.718374 IP6 fe80::72d9:b266:eb70:3c68.mdns > ff02::fb.mdns: 0*- [0q] 1/0/0 (Cache flush) AAAA fe80::72d9:b266:eb70:3c68 (52)
15:13:14.718757 IP 192.168.0.252.mdns > mdns.mcast.net.mdns: 47605+ ANY (QM)? Bose-SM2-d43639899ecf.local. (45)
15:13:14.719046 IP6 fe80::9a9b:cbff:feb0:9fae.mdns > ff02::fb.mdns: 47605+ ANY (QM)? Bose-SM2-d43639899ecf.local. (45)
15:13:14.719556 IP 192.168.0.252.mdns > mdns.mcast.net.mdns: 43205+ ANY (QM)? MoeniKommandoZentrale.local. (45)
15:13:14.719813 IP unifi.mdns > mdns.mcast.net.mdns: 0*- [0q] 2/0/0 (Cache flush) AAAA fe80::245a:4cff:fe96:430a, (Cache flush) A 192.168.0.254 (83)
15:13:14.719860 IP6 fe80::9a9b:cbff:feb0:9fae.mdns > ff02::fb.mdns: 43205+ ANY (QM)? MoeniKommandoZentrale.local. (45)
15:13:14.720116 IP6 fe80::245a:4cff:fe96:430a.mdns > ff02::fb.mdns: 0*- [0q] 1/0/0 (Cache flush) AAAA fe80::245a:4cff:fe96:430a (67)
15:13:14.743961 IP BRNB42200C179E6.mdns > mdns.mcast.net.mdns: 0*- [0q] 2/0/1 (Cache flush) A 192.168.0.50, (Cache flush) AAAA fe80::b622:ff:fec1:79e6 (97)
15:13:14.744100 IP6 fe80::b622:ff:fec1:79e6.mdns > ff02::fb.mdns: 0*- [0q] 2/0/1 (Cache flush) A 192.168.0.50, (Cache flush) AAAA fe80::b622:ff:fec1:79e6 (97)
15:13:14.759471 IP nas.ext.local.de.mdns > mdns.mcast.net.mdns: 0*- [0q] 1/0/0 (Cache flush) A 192.168.0.6 (44)
15:13:14.800786 IP 192.168.0.74.mdns > mdns.mcast.net.mdns: 0*- [0q] 1/0/1 (Cache flush) A 192.168.0.74 (61)
15:13:14.802289 IP Mac-mini.mdns > mdns.mcast.net.mdns: 0*- [0q] 2/0/1 (Cache flush) AAAA fe80::c5:9ee0:807c:f98, (Cache flush) A 192.168.0.188 (90)
15:13:14.802431 IP6 fe80::c5:9ee0:807c:f98.mdns > ff02::fb.mdns: 0*- [0q] 2/0/1 (Cache flush) AAAA fe80::c5:9ee0:807c:f98, (Cache flush) A 192.168.0.188 (90)
15:13:14.808661 IP Samsung.mdns > mdns.mcast.net.mdns: 0*- [0q] 1/0/2 (Cache flush) A 192.168.0.160 (78)
15:13:14.811029 IP 192.168.0.76.mdns > mdns.mcast.net.mdns: 0*- [0q] 1/0/1 (Cache flush) A 192.168.0.76 (61)
15:13:14.821856 IP BOSE-OBEN.mdns > mdns.mcast.net.mdns: 0*- [0q] 2/0/0 (Cache flush) HINFO, (Cache flush) A 192.168.0.60 (80)
15:13:14.887628 IP 192.168.0.5.mdns > mdns.mcast.net.mdns: 0 [b2&3=0x400] [1au] A (QM)? QNAP-NAS01.local. (50)
15:13:14.894056 IP BOSE-UNTEN.mdns > mdns.mcast.net.mdns: 0*- [0q] 2/0/0 (Cache flush) HINFO, (Cache flush) A 192.168.0.62 (80)
15:13:15.057431 IP 192.168.0.153.mdns > mdns.mcast.net.mdns: 0*- [0q] 1/0/1 (Cache flush) A 192.168.0.153 (70)
15:13:55.036706 IP Samsung.mdns > mdns.mcast.net.mdns: 0 [6a] [1au] PTR (QM)? _http._tcp.local. (225)
15:13:55.037858 IP unifi.mdns > mdns.mcast.net.mdns: 0*- [0q] 4/0/0 PTR shellypro3em-34987a44ec64._http._tcp.local., (Cache flush) SRV ShellyPro3EM-34987A44EC64.local.:80 0 0, (Cache flush) TXT "gen=2", (Cache flush) A 192.168.50.107 (148)
15:13:55.068494 IP unifi.mdns > mdns.mcast.net.mdns: 0*- [0q] 4/0/0 PTR wled-6abd03._http._tcp.local., (Cache flush) SRV wled-6abd03.local.:80 0 0, (Cache flush) TXT "", (Cache flush) A 192.168.50.101 (115)
15:13:55.090107 IP unifi.mdns > mdns.mcast.net.mdns: 0*- [0q] 4/0/0 PTR shellyplus2pm-a0dd6c28d12c._http._tcp.local., SRV ShellyPlus2PM-A0DD6C28D12C.local.:80 0 0, TXT "gen=2", (Cache flush) A 192.168.50.108 (150)
15:13:55.096752 IP unifi.mdns > mdns.mcast.net.mdns: 0*- [0q] 4/0/0 PTR wled-51a480._http._tcp.local., (Cache flush) SRV wled-51a480.local.:80 0 0, (Cache flush) TXT "", (Cache flush) A 192.168.50.103 (115)
15:13:55.124598 IP unifi.mdns > mdns.mcast.net.mdns: 0*- [0q] 4/0/0 PTR wled-ad8223._http._tcp.local., (Cache flush) SRV wled-ad8223.local.:80 0 0, (Cache flush) TXT "", (Cache flush) A 192.168.50.102 (115)
15:13:55.126887 IP unifi.mdns > mdns.mcast.net.mdns: 0*- [0q] 4/0/0 PTR shellypro4pm-08f9e0e53960._http._tcp.local., SRV ShellyPro4PM-08F9E0E53960.local.:80 0 0, TXT "gen=2", (Cache flush) A 192.168.50.110 (148)
15:13:55.142999 IP unifi.mdns > mdns.mcast.net.mdns: 0*- [0q] 4/0/0 PTR shellyplus2pm-c4d8d557baf0._http._tcp.local., SRV ShellyPlus2PM-C4D8D557BAF0.local.:80 0 0, TXT "gen=2", (Cache flush) A 192.168.50.162 (150)
15:14:25.161507 IP BOSE-OBEN.mdns > mdns.mcast.net.mdns: 0 [2q] SRV (QM)? BOSE UNTEN._soundtouch._tcp.local. SRV (QM)? BOSE OBEN._soundtouch._tcp.local. (67)
15:14:25.161679 IP BOSE-OBEN.mdns > mdns.mcast.net.mdns: 0*- [0q] 2/0/0 (Cache flush) SRV Bose-SM2-d43639899ecf.local.:8090 0 0, (Cache flush) A 192.168.0.60 (102)
15:14:25.192005 IP BOSE-UNTEN.mdns > mdns.mcast.net.mdns: 0*- [0q] 2/0/0 (Cache flush) SRV Bose-SM2-a81b6a654228.local.:8090 0 0, (Cache flush) A 192.168.0.62 (103)

Alles anzeigen

**gierig** · 7. Oktober 2024

Zitat von TheFreeman

Aber da es sich um TCPdump hadelt..... Im piHole steht doch etwas von UDP, oder?

TCP/IP Nennt sich die Protokoll Familie. Das beinhaltet auch ICMP / UDP und den ganzen anderen rotz

Wenn so garnichts kommt... das laufen wohl keine DNS anfragen über die UDM

Probiere aus.. mach 'nen zweites Fenster auf und tippe ein einfachen dig heise.de ein

da sollte was kommen....

**TheFreeman** · 7. Oktober 2024

Ja, das habe ich verstanden.

Ich warte mal darauf, dass jemand den zusätzlichen Post liest. 😁☺️

Willkommen! Melden Sie sich an oder registrieren Sie sich.

UDM spamt pihole mit .in-addr.arpa Abfragen

Tags

6 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 62

Wer war online 110