
<font size="2"><span style="background-color:rgba(255,255,255,0)">Hi <font>Daisuke,</font></span></font><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Thank you for the response.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">This same behaviour is occurring to all domains that has being attacked. Do you think is the same reason (nameservers tango down)?<br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Regards,</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">--</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Eduardo Schoedler</span></font></div><br>Em quinta-feira, 5 de maio de 2016, Daisuke HIGASHI <<a href="mailto:daisuke.higashi@gmail.com">daisuke.higashi@gmail.com</a>> escreveu:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi, Eduardo:<br>

<br>

It seems that all nameservers of "<a href="http://315ye.zj.cn" target="_blank">315ye.zj.cn</a>" (<a href="http://ns1.22.cn" target="_blank">ns1.22.cn</a>, <a href="http://ns2.22.cn" target="_blank">ns2.22.cn</a>)<br>

are completely down and no response; In Unbound "infra" database all<br>

NS of "<a href="http://315ye.zj.cn" target="_blank">315ye.zj.cn</a>"<br>

should be marked as "rto 120000", which means "not responsible".<br>

<br>

$ unbound-control dump_infra | grep <a href="http://315ye.zj.cn" target="_blank">315ye.zj.cn</a><br>

121.12.104.72 <a href="http://315ye.zj.cn" target="_blank">315ye.zj.cn</a>. ttl 4 ping 0 var 94 rtt 376 rto 120000 tA 3<br>

tAAAA 0 tother 0 ednsknown 0 edns 0 delay 0 lame dnssec 0 rec 0 A 0<br>

other 0<br>

121.12.104.73 <a href="http://315ye.zj.cn" target="_blank">315ye.zj.cn</a>. ttl 0 ping 0 var 94 rtt 376 rto 120000 tA 3<br>

tAAAA 0 tother 0 ednsknown 0 edns 0 delay 0 lame dnssec 0 rec 0 A 0<br>

other 0<br>

218.66.171.136 <a href="http://315ye.zj.cn" target="_blank">315ye.zj.cn</a>. ttl 6 ping 0 var 94 rtt 376 rto 120000 tA<br>

3 tAAAA 0 tother 0 ednsknown 0 edns 0 delay 0 lame dnssec 0 rec 0 A 0<br>

other 0<br>

218.66.171.137 <a href="http://315ye.zj.cn" target="_blank">315ye.zj.cn</a>. ttl 2 ping 0 var 94 rtt 376 rto 120000 tA<br>

3 tAAAA 0 tother 0 ednsknown 0 edns 0 delay 0 lame dnssec 0 rec 0 A 0<br>

other 0<br>

<br>

In this case Unbound stops resolving names under the zone (returns<br>

SERVFAIL for user queries) for a while.<br>

<br>

Unbound's "ratelimit" feature ratelimits number of queries from<br>

Unbound to nameservers,<br>

not from user to Unbound. So my guess is: Unbound should already had<br>

stopped resolving<br>

"<a href="http://315ye.zj.cn" target="_blank">315ye.zj.cn</a>" because all the NSs are down, so its "ratelimit" feature<br>

no longer detect<br>

excessive queries to "<a href="http://315ye.zj.cn" target="_blank">315ye.zj.cn</a>" nameservers.<br>

<br>

Regards,<br>

--<br>

 Daisuke Higashi<br>

</blockquote><br><br>-- <br><div dir="ltr">Eduardo Schoedler<br></div><br>