[Sysadmins] Тысяча и один коннект BIND

[Павел Караваев]

Приветствую!

С недавнего времени начал замечать, что bind изредка на вполне нормальные домены стал выдавать "SERVFAIL". Тут же повторишь запрос - резолвит. Обнаружил, что несколько клиентов постоянно заваливают запросами вида "A? hyxhvpioqbmfsak.www.ludashi12345.com" пару определенных внешних dns серверов. На данный момент картина такая:

[root на ns1 zone]# netstat -an|grep ':53'|wc -l
1014
[root на ns1 zone]# 

[root на ns2 zones]# netstat -an|grep ':53'|wc -l
1012
[root на ns2 zones]# 

Т.е. явно упирается в какое-то ограничение. Включил debug 3 - в логах никакой ругани. Покурил маны по опциям bind, похожих опций не нашел. Посмотрел limits.conf - там лимит в 4096 файлов. Где еще может быть собака зарыта? Хотя думаю, что повышение лимита результата не даст - он опять моментально будет достигнут...

В качестве временной меры дропаю исходящие пакеты на эти пару серверов, но это же не выход... Как бороться?