URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91367
[ Назад ]

Исходное сообщение
"Как найти источник такого трафика в системе ?"

Отправлено sergeyfromkomi , 13-Апр-11 14:08 
Как найти источник такого трафика в системе(freebsd 8.0) :

13:18:08.843637 IP 10.14.x.x.28973 > 59.182.x.x.53: 17738+ A? xl0.localhost. (31)
13:18:08.845214 IP 59.182.x.x.53 > 10.14.x.x.28973: 17738 NXDomain* 0/1/0 (72)
13:18:08.845307 IP 10.14.x.x.10368 > 59.182.x.x.53: 17739+ AAAA? xl0.localhost. (31)
13:18:08.846883 IP 59.182.x.x.53 > 10.14.x.x.10368: 17739 NXDomain* 0/1/0 (72)

хотя socstat не показывает этого...

sockstat -4
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
zabbix   perl5.10.1 49445 5  tcp4   *:10051               *:*
zabbix   perl5.10.1 49445 7  tcp4   172.2.250.240:56192  172.2.250.250:23
zabbix   fping      49444 5  tcp4   *:10051               *:*
cacti    php        49403 5  udp4   *:27907               *:*
root     sshd       49013 3  tcp4   172.2.250.240:22     10.14.x.x:2850
root     smbd       36447 28 tcp4   172.2.250.240:445    10.14.6.190:49157
root     snmptrapd  63586 10 udp4   *:162                 *:*
root     smbd       67030 28 tcp4   10.14.6.179:445       10.14.6.161:2244
www      httpd      1145  16 tcp4   *:80                  *:*
www      httpd      1140  3  tcp4   172.2.250.240:80     10.14.6.163:4534
www      httpd      1140  16 tcp4   *:80                  *:*
www      httpd      1136  3  tcp4   172.2.250.240:80     10.14.x.x:2887
www      httpd      1136  16 tcp4   *:80                  *:*
www      httpd      1112  16 tcp4   *:80                  *:*
www      httpd      1108  16 tcp4   *:80                  *:*
root     inetd      1038  5  udp4   *:69                  *:*
root     sendmail   999   3  tcp4   127.0.0.1:25          *:*
www      httpd      998   16 tcp4   *:80                  *:*
www      httpd      997   3  tcp4   172.2.250.240:80     10.14.6.163:4533
www      httpd      997   16 tcp4   *:80                  *:*
www      httpd      996   16 tcp4   *:80                  *:*
www      httpd      995   3  tcp4   172.2.250.240:80     10.14.x.x:2886
www      httpd      995   16 tcp4   *:80                  *:*
www      httpd      994   16 tcp4   *:80                  *:*
root     sshd       987   4  tcp4   *:22                  *:*
root     httpd      968   16 tcp4   *:80                  *:*
zabbix   zabbix_ser 966   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 965   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 964   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 963   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 962   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 961   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 960   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 959   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 958   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 957   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 956   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 955   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 954   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 953   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 952   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 951   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 950   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 949   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 948   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 947   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 922   5  tcp4   *:10051               *:*
mysql    mysqld     914   3  tcp4   *:3306                *:*
root     smbd       877   24 tcp4   *:445                 *:*
root     smbd       877   25 tcp4   *:139                 *:*
root     nmbd       871   9  udp4   *:137                 *:*
root     nmbd       871   10 udp4   *:138                 *:*
root     syslogd    640   7  udp4   *:514                 *:*

понятно что это днс, но по почему он так часто туда ломится и почему на  59.182.x.x.53 ведь в /etc/resolv.conf у меня:


domain  localhost
nameserver 8.8.8.8



Содержание

Сообщения в этом обсуждении
"Как найти источник такого трафика в системе ?"
Отправлено reader , 13-Апр-11 14:41 
>[оверквотинг удален]
> 7  udp4   *:514      
>            
> *:*
>

> понятно что это днс, но по почему он так часто туда ломится
> и почему на  59.182.x.x.53 ведь в /etc/resolv.conf у меня:
>
> domain  localhost
> nameserver 8.8.8.8
>
 

а где видно что 10.14.x.x это адрес этой freeBSD


"Как найти источник такого трафика в системе ?"
Отправлено sergeyfromkomi , 13-Апр-11 15:01 
>[оверквотинг удален]
>>
>> *:*
>>

>> понятно что это днс, но по почему он так часто туда ломится
>> и почему на  59.182.x.x.53 ведь в /etc/resolv.conf у меня:
>>
>> domain  localhost
>> nameserver 8.8.8.8
>>
 
> а где видно что 10.14.x.x это адрес этой freeBSD

10.14.x.x это и есть машина где я ищу источник трафика, у этой тачки два интерфейса 10.14.x.x  и  172.2.250.240

это сервер под zabbix мониторит только внутреннюю сеть...
я хочу найти процесс что генерит dns запросы.


"Как найти источник такого трафика в системе ?"
Отправлено reader , 13-Апр-11 15:46 
>[оверквотинг удален]
>>> и почему на  59.182.x.x.53 ведь в /etc/resolv.conf у меня:
>>>

>>> domain  localhost
>>> nameserver 8.8.8.8
>>>
 
>> а где видно что 10.14.x.x это адрес этой freeBSD
> 10.14.x.x это и есть машина где я ищу источник трафика, у этой
> тачки два интерфейса 10.14.x.x  и  172.2.250.240
> это сервер под zabbix мониторит только внутреннюю сеть...
> я хочу найти процесс что генерит dns запросы.

значит ищите куда прописали имя xl0 , к которому потом в запросе добавляется ваш
domain  localhost


"Как найти источник такого трафика в системе ?"
Отправлено universite , 14-Апр-11 03:59 
какое-то приложение делает запрос к внешнему ДНС.
Пробуйте отловить создание чайлда и его обращение.

"Как найти источник такого трафика в системе ?"
Отправлено LSTemp , 14-Апр-11 16:17 
0) не телепатирую тип твоего ДНС - предполагаю bind
1) твой сервер к корневым серверам ДНС по любому обращаться будет
2) твой сервер ДНС будет отвечать любому идиоту который обратиться к нему из сети. если ты его пакетным фильтром не прикроешь
3) твой сервер ДНС будет отвечать любому идиоту который обратиться к нему из сети. если у тебя старая версия бинд или ты не настроил конфиг так, чтобы не авторизованные адреса черпали инфу из кеша твоего ДНС (allow-query & allow-query-cache & доки тебе в помощь)
4) на этом все. удачи.

PS
доки тут - http://www.isc.org/

PSS
8.8.8.8 - это да! это круто! тут полно телепатов - их тут больше чем в других местах. приходи еще.