Как найти источник такого трафика в системе(freebsd 8.0) :
13:18:08.843637 IP 10.14.x.x.28973 > 59.182.x.x.53: 17738+ A? xl0.localhost. (31)
13:18:08.845214 IP 59.182.x.x.53 > 10.14.x.x.28973: 17738 NXDomain* 0/1/0 (72)
13:18:08.845307 IP 10.14.x.x.10368 > 59.182.x.x.53: 17739+ AAAA? xl0.localhost. (31)
13:18:08.846883 IP 59.182.x.x.53 > 10.14.x.x.10368: 17739 NXDomain* 0/1/0 (72)
хотя socstat не показывает этого...
sockstat -4
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
zabbix perl5.10.1 49445 5 tcp4 *:10051 *:*
zabbix perl5.10.1 49445 7 tcp4 172.2.250.240:56192 172.2.250.250:23
zabbix fping 49444 5 tcp4 *:10051 *:*
cacti php 49403 5 udp4 *:27907 *:*
root sshd 49013 3 tcp4 172.2.250.240:22 10.14.x.x:2850
root smbd 36447 28 tcp4 172.2.250.240:445 10.14.6.190:49157
root snmptrapd 63586 10 udp4 *:162 *:*
root smbd 67030 28 tcp4 10.14.6.179:445 10.14.6.161:2244
www httpd 1145 16 tcp4 *:80 *:*
www httpd 1140 3 tcp4 172.2.250.240:80 10.14.6.163:4534
www httpd 1140 16 tcp4 *:80 *:*
www httpd 1136 3 tcp4 172.2.250.240:80 10.14.x.x:2887
www httpd 1136 16 tcp4 *:80 *:*
www httpd 1112 16 tcp4 *:80 *:*
www httpd 1108 16 tcp4 *:80 *:*
root inetd 1038 5 udp4 *:69 *:*
root sendmail 999 3 tcp4 127.0.0.1:25 *:*
www httpd 998 16 tcp4 *:80 *:*
www httpd 997 3 tcp4 172.2.250.240:80 10.14.6.163:4533
www httpd 997 16 tcp4 *:80 *:*
www httpd 996 16 tcp4 *:80 *:*
www httpd 995 3 tcp4 172.2.250.240:80 10.14.x.x:2886
www httpd 995 16 tcp4 *:80 *:*
www httpd 994 16 tcp4 *:80 *:*
root sshd 987 4 tcp4 *:22 *:*
root httpd 968 16 tcp4 *:80 *:*
zabbix zabbix_ser 966 5 tcp4 *:10051 *:*
zabbix zabbix_ser 965 5 tcp4 *:10051 *:*
zabbix zabbix_ser 964 5 tcp4 *:10051 *:*
zabbix zabbix_ser 963 5 tcp4 *:10051 *:*
zabbix zabbix_ser 962 5 tcp4 *:10051 *:*
zabbix zabbix_ser 961 5 tcp4 *:10051 *:*
zabbix zabbix_ser 960 5 tcp4 *:10051 *:*
zabbix zabbix_ser 959 5 tcp4 *:10051 *:*
zabbix zabbix_ser 958 5 tcp4 *:10051 *:*
zabbix zabbix_ser 957 5 tcp4 *:10051 *:*
zabbix zabbix_ser 956 5 tcp4 *:10051 *:*
zabbix zabbix_ser 955 5 tcp4 *:10051 *:*
zabbix zabbix_ser 954 5 tcp4 *:10051 *:*
zabbix zabbix_ser 953 5 tcp4 *:10051 *:*
zabbix zabbix_ser 952 5 tcp4 *:10051 *:*
zabbix zabbix_ser 951 5 tcp4 *:10051 *:*
zabbix zabbix_ser 950 5 tcp4 *:10051 *:*
zabbix zabbix_ser 949 5 tcp4 *:10051 *:*
zabbix zabbix_ser 948 5 tcp4 *:10051 *:*
zabbix zabbix_ser 947 5 tcp4 *:10051 *:*
zabbix zabbix_ser 922 5 tcp4 *:10051 *:*
mysql mysqld 914 3 tcp4 *:3306 *:*
root smbd 877 24 tcp4 *:445 *:*
root smbd 877 25 tcp4 *:139 *:*
root nmbd 871 9 udp4 *:137 *:*
root nmbd 871 10 udp4 *:138 *:*
root syslogd 640 7 udp4 *:514 *:*понятно что это днс, но по почему он так часто туда ломится и почему на 59.182.x.x.53 ведь в /etc/resolv.conf у меня:
Содержание
>[оверквотинг удален]
> 7 udp4 *:514
>
> *:*
>
а где видно что 10.14.x.x это адрес этой freeBSD
>[оверквотинг удален]
>>
>> *:*
>>
10.14.x.x это и есть машина где я ищу источник трафика, у этой тачки два интерфейса 10.14.x.x и 172.2.250.240
это сервер под zabbix мониторит только внутреннюю сеть...
я хочу найти процесс что генерит dns запросы.
>[оверквотинг удален]
>>> и почему на 59.182.x.x.53 ведь в /etc/resolv.conf у меня:
>>>
значит ищите куда прописали имя xl0 , к которому потом в запросе добавляется ваш
domain localhost
какое-то приложение делает запрос к внешнему ДНС.
Пробуйте отловить создание чайлда и его обращение.
0) не телепатирую тип твоего ДНС - предполагаю bind
1) твой сервер к корневым серверам ДНС по любому обращаться будет
2) твой сервер ДНС будет отвечать любому идиоту который обратиться к нему из сети. если ты его пакетным фильтром не прикроешь
3) твой сервер ДНС будет отвечать любому идиоту который обратиться к нему из сети. если у тебя старая версия бинд или ты не настроил конфиг так, чтобы не авторизованные адреса черпали инфу из кеша твоего ДНС (allow-query & allow-query-cache & доки тебе в помощь)
4) на этом все. удачи.PS
доки тут - http://www.isc.org/PSS
8.8.8.8 - это да! это круто! тут полно телепатов - их тут больше чем в других местах. приходи еще.