Probleme mit dem RATE_LIMIT, ein Client sendet zu viele Anfragen

Keen_Barete · February 27, 2023, 10:49am

Hallo,
vielleicht kann mir jemand helfen.
Ich habe einen aktuellen Pihole unter Docker in einer Synology am laufen. Seit einer gewissen Zeit gibt es ab und zu Aussetzer mit meiner Internetverbindung, ich konnte den Fehler etwas eingrenzen, das Problem betrifft nur meinen Hauptrechner im Büro, andere Geräte sind nicht betroffen. Im Pihole gibt es dann eine Fehlermeldung das das RATE_LIMIT für genau diesen Clienten überschritten wurde, ich habe es von 1000 auf 2000 angehoben, das Verhalten bleibt trotzdem gleich. Wie kann ich genau herausfinden was die Ursache dafür ist? Ich kenne mich mit Pi-hole nicht so gut aus, deshalb meine Frage hier.

Bucking_Horn · February 27, 2023, 11:42pm

Welche Domänen hat dieser Client denn angefragt, bevor er von Pi-hole gedrosselt wurde? Wurde eine davon besonders oft angefragt? Wurde diese vielleicht von Pi-hole blockiert?

Das müsste sich z.B. in Pi-holes Dashboard über einen Klick auf den entsprechenden Client unter Top Clients (total) nachvollziehen lassen.

Keen_Barete · February 28, 2023, 10:32am

Okay, das scheint die richtige Spur zu sein, (v7event.stats.avast.com) und (analytics.ff.avast.com) verursachen die Anfragen. Jeweils über 1000 pro Minute.
Bringt es etwas beide in die Blacklist aufzunehmen? Habe ich gerade gemacht.
Es ist wohl an der zeit das ich mir einen alternativen Virenscanner suche.

Bucking_Horn · February 28, 2023, 10:59am

Zumindest analytics.ff.avast.com wird bereits durch Pi-holes Standard-Blockliste blockiert.

Wenn erlaubte Anfragen exzessiv wiederholt werden, ist es generell eher unwahrscheinlich, dass eine Blockierung daran etwas ändert.

Interessant wäre, ob diese Domänen bereits von Pi-hole geblockt wurden.
Mitunter führt das dazu, dass eine Software ihre Anfragen verzweifelt wiederholt.
Dann gäbe es möglicherweise ein paar Wege, das zu unterbinden oder abzuschwächen, wenn auch nicht notwendigerweise über Pi-hole.

Bitte lade ein Debug Log hoch und poste hier anschließend nur die Token-URL.
Das Token generierst Du über

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log

Keen_Barete · February 28, 2023, 11:42am

https://tricorder.pi-hole.net/iywemKx3/

Bucking_Horn · February 28, 2023, 12:59pm

Beide Domänen finden sich zumindest auf einer von den von Dir verwendeten Blocklisten.

Pi-hole setzt standardmässig die TTL für geblockte DNS-Antworten auf 2 Sekunden.
Theroretisch liesse sich diese Zeit über BLOCK_TTL (mit Bedacht!) anpassen, aber das würde in diesem Fall nichts bringen: 1.000 Anfragen pro Minute liegen deutlich höher als 30 (=60/2) und bedeuten, dass die anfragende Software diese TTL ignoriert und einfach nur eine DNS-Anfrage nach der anderen raushaut.

Möglicherweise stört sich die Software also an der Art der geblockten Antwort:
Pi-hole beantwortet geblockte DNS-Anfragen im Standard mit 0.0.0.0 (NULL-Blocking).

Ggf. hilft ein Wechsel auf einen anderen Blocking Mode, z.B-. NXDOMAIN oder NODATA.
Das gilt dann allerfdinsg für alle DNS-Anfragen.

Etwas gezielter auf die problematischen Domänen könntest Du versuchen, die Domänen in Pi-hole zu erlauben (Type auf Whitelist ändern) und dann über benutzerspezifische dnsmasq-Dateien zu blocken.
Dazu legst Du eine Datei /etc/dnsmasq.d/42-block-avast.conf mit folgendem Inhalt an:

# block AVAST telemetry
local=/analytics.ff.avast.com/
local=/v7event.stats.avast.com/

Das sollte nach einem pihole restartdns dafür sorgen, dass DNS-Anfragen für diese Domänen zukünfig mit NXDOMAIN beantwortet werden.

Alternativ oder falls das keinen Effekt hat, kannst Du versuchen, auf dem Client, der AVAST verwendet, die Domänen in der hosts-Datei zu blockieren, indem Du dort folgende Zeilen hinzufügst:

# block AVAST telemetry
127.0.0.1   analytics.ff.avast.com
127.0.0.1   v7event.stats.avast.com

Dann stellt AVAST die Anfragen zwar trotzdem, sie werden dann aber bereits lokal auf dem Rechner geblockt und erreichen Pi-hole erst gar nicht.
Nachteil ist, dass dies nur auf genau dem Rechner funktioniert (was bei Dir aber auch genau nur einen Rechner betrifft).
Wo sich die hosts-Datei auf Deinem System befindet und wie Du sie ändern kannst, hängt von Deinem Betriebssystem ab. Das müsstest Du dann ggf. selbst recherchieren.

Keen_Barete · March 1, 2023, 10:45am

Bucking_Horn:

Etwas gezielter auf die problematischen Domänen könntest Du versuchen, die Domänen in Pi-hole zu erlauben (Type auf Whitelist ändern) und dann über benutzerspezifische dnsmasq-Dateien zu blocken.
Dazu legst Du eine Datei /etc/dnsmasq.d/42-block-avast.conf mit folgendem Inhalt an:
# block AVAST telemetry
local=/analytics.ff.avast.com/
local=/v7event.stats.avast.com/

Augenscheinlich verhalf dieser Weg zum Erfolg! Jedenfalls kann ich Avast jetzt nicht mehr im Log finden.
Oder liegt es daran das ich die Domänen jetzt explizit erlaube?
Warum wurde die Conf Datei mit der 42 beziffert?

Vielen Dank für die schnelle Hilfe und die sehr ausführliche Antwort!!!

DL6ER · March 3, 2023, 5:32pm

Die sollten schon noch da sein, aber vielleicht begnügen sie sich jetzt mit einer Anfrage pro Stunde oder so.

Nein, alles wird geloggt.

Es ist eine schöne Zahl nehme ich an. Wie die 5 oder die 13

system · March 24, 2023, 5:32pm

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.