<div dir="ltr">Thanks for the hint.<br>I wrote and iptables rule but seems not working <div><br></div><div><div>iptables -I INPUT 4 -p udp -m udp --dport 53 -m string --hex-string "|06|domain" --algo bm --to 65535 -m comment --comment ".domain" -j DROP</div></div><div><br></div><div>I think that I need to specify to block all domains with .domain at the end (a kind of *.domain) Any suggestion?!<br><br>Thankyou!!!!</div><div><br>Federico</div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-12-13 15:41 GMT+00:00 Stephane Bortzmeyer <span dir="ltr"><<a href="mailto:bortzmeyer@nic.fr" target="_blank">bortzmeyer@nic.fr</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sun, Dec 13, 2015 at 03:17:04PM +0000,<br>
 Federico Olivieri <<a href="mailto:lvrfrc87@gmail.com">lvrfrc87@gmail.com</a>> wrote<br>
<span class=""> a message of 131 lines which said:<br>
<br>
> I did sniff traffic and I saw some strange queries with .domain at the end<br>
> of the name<br>
<br>
</span>Always use tcpdump with -n option... (hint: the last field is the<br>
port, 53 in digits, domain in letters).<br>
<span class=""><br>
> If I do dig for one of those domains I can see that the query goes directly<br>
> to root server.<br>
<br>
</span>Of course, since it searches for the .domain TLD.<br>
<br>
</blockquote></div><br></div>