forum.opennet.ru - "Как найти источник такого трафика в системе ?" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Как найти источник такого трафика в системе ?"

Форум Открытые системы на сервере (Сеть. проблемы, диагностика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Как найти источник такого трафика в системе ?"	+/–
Сообщение от sergeyfromkomi (ok) on 13-Апр-11, 14:08
Как найти источник такого трафика в системе(freebsd 8.0) : 13:18:08.843637 IP 10.14.x.x.28973 > 59.182.x.x.53: 17738+ A? xl0.localhost. (31) 13:18:08.845214 IP 59.182.x.x.53 > 10.14.x.x.28973: 17738 NXDomain* 0/1/0 (72) 13:18:08.845307 IP 10.14.x.x.10368 > 59.182.x.x.53: 17739+ AAAA? xl0.localhost. (31) 13:18:08.846883 IP 59.182.x.x.53 > 10.14.x.x.10368: 17739 NXDomain* 0/1/0 (72) хотя socstat не показывает этого... sockstat -4 USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS zabbix perl5.10.1 49445 5 tcp4 :10051 :* zabbix perl5.10.1 49445 7 tcp4 172.2.250.240:56192 172.2.250.250:23 zabbix fping 49444 5 tcp4 :10051 :* cacti php 49403 5 udp4 :27907 :* root sshd 49013 3 tcp4 172.2.250.240:22 10.14.x.x:2850 root smbd 36447 28 tcp4 172.2.250.240:445 10.14.6.190:49157 root snmptrapd 63586 10 udp4 :162 :* root smbd 67030 28 tcp4 10.14.6.179:445 10.14.6.161:2244 www httpd 1145 16 tcp4 :80 :* www httpd 1140 3 tcp4 172.2.250.240:80 10.14.6.163:4534 www httpd 1140 16 tcp4 :80 :* www httpd 1136 3 tcp4 172.2.250.240:80 10.14.x.x:2887 www httpd 1136 16 tcp4 :80 :* www httpd 1112 16 tcp4 :80 :* www httpd 1108 16 tcp4 :80 :* root inetd 1038 5 udp4 :69 :* root sendmail 999 3 tcp4 127.0.0.1:25 : www httpd 998 16 tcp4 :80 :* www httpd 997 3 tcp4 172.2.250.240:80 10.14.6.163:4533 www httpd 997 16 tcp4 :80 :* www httpd 996 16 tcp4 :80 :* www httpd 995 3 tcp4 172.2.250.240:80 10.14.x.x:2886 www httpd 995 16 tcp4 :80 :* www httpd 994 16 tcp4 :80 :* root sshd 987 4 tcp4 :22 :* root httpd 968 16 tcp4 :80 :* zabbix zabbix_ser 966 5 tcp4 :10051 :* zabbix zabbix_ser 965 5 tcp4 :10051 :* zabbix zabbix_ser 964 5 tcp4 :10051 :* zabbix zabbix_ser 963 5 tcp4 :10051 :* zabbix zabbix_ser 962 5 tcp4 :10051 :* zabbix zabbix_ser 961 5 tcp4 :10051 :* zabbix zabbix_ser 960 5 tcp4 :10051 :* zabbix zabbix_ser 959 5 tcp4 :10051 :* zabbix zabbix_ser 958 5 tcp4 :10051 :* zabbix zabbix_ser 957 5 tcp4 :10051 :* zabbix zabbix_ser 956 5 tcp4 :10051 :* zabbix zabbix_ser 955 5 tcp4 :10051 :* zabbix zabbix_ser 954 5 tcp4 :10051 :* zabbix zabbix_ser 953 5 tcp4 :10051 :* zabbix zabbix_ser 952 5 tcp4 :10051 :* zabbix zabbix_ser 951 5 tcp4 :10051 :* zabbix zabbix_ser 950 5 tcp4 :10051 :* zabbix zabbix_ser 949 5 tcp4 :10051 :* zabbix zabbix_ser 948 5 tcp4 :10051 :* zabbix zabbix_ser 947 5 tcp4 :10051 :* zabbix zabbix_ser 922 5 tcp4 :10051 :* mysql mysqld 914 3 tcp4 :3306 :* root smbd 877 24 tcp4 :445 :* root smbd 877 25 tcp4 :139 :* root nmbd 871 9 udp4 :137 :* root nmbd 871 10 udp4 :138 :* root syslogd 640 7 udp4 :514 :* понятно что это днс, но по почему он так часто туда ломится и почему на 59.182.x.x.53 ведь в /etc/resolv.conf у меня: domain localhost nameserver 8.8.8.8
Ответить \| Правка \| Cообщить модератору

Оглавление

Как найти источник такого трафика в системе ?, reader, 14:41 , 13-Апр-11, (1)

Как найти источник такого трафика в системе ?, sergeyfromkomi, 15:01 , 13-Апр-11, (2)

Как найти источник такого трафика в системе ?, reader, 15:46 , 13-Апр-11, (3)

Как найти источник такого трафика в системе ?, universite, 03:59 , 14-Апр-11, (4)
Как найти источник такого трафика в системе ?, LSTemp, 16:17 , 14-Апр-11, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Как найти источник такого трафика в системе ?" +/–

Сообщение от reader (ok) on 13-Апр-11, 14:41

>[оверквотинг удален]
> 7  udp4   *:514
>
> *:*
>
> понятно что это днс, но по почему он так часто туда ломится
> и почему на  59.182.x.x.53 ведь в /etc/resolv.conf у меня:
>
> domain  localhost
> nameserver 8.8.8.8
>

а где видно что 10.14.x.x это адрес этой freeBSD

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как найти источник такого трафика в системе ?" +/–

Сообщение от sergeyfromkomi (ok) on 13-Апр-11, 15:01

>[оверквотинг удален]
>>
>> *:*
>>
>> понятно что это днс, но по почему он так часто туда ломится
>> и почему на  59.182.x.x.53 ведь в /etc/resolv.conf у меня:
>>
>> domain  localhost
>> nameserver 8.8.8.8
>>

> а где видно что 10.14.x.x это адрес этой freeBSD
10.14.x.x это и есть машина где я ищу источник трафика, у этой тачки два интерфейса 10.14.x.x  и  172.2.250.240
это сервер под zabbix мониторит только внутреннюю сеть...
я хочу найти процесс что генерит dns запросы.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Как найти источник такого трафика в системе ?" +/–

Сообщение от reader (ok) on 13-Апр-11, 15:46

>[оверквотинг удален]
>>> и почему на  59.182.x.x.53 ведь в /etc/resolv.conf у меня:
>>>
>>> domain  localhost
>>> nameserver 8.8.8.8
>>>

>> а где видно что 10.14.x.x это адрес этой freeBSD
> 10.14.x.x это и есть машина где я ищу источник трафика, у этой
> тачки два интерфейса 10.14.x.x  и  172.2.250.240
> это сервер под zabbix мониторит только внутреннюю сеть...
> я хочу найти процесс что генерит dns запросы.
значит ищите куда прописали имя xl0 , к которому потом в запросе добавляется ваш
domain  localhost

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Как найти источник такого трафика в системе ?" +/–

Сообщение от universite (ok) on 14-Апр-11, 03:59

какое-то приложение делает запрос к внешнему ДНС.
Пробуйте отловить создание чайлда и его обращение.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Как найти источник такого трафика в системе ?" +/–

Сообщение от LSTemp (ok) on 14-Апр-11, 16:17

0) не телепатирую тип твоего ДНС - предполагаю bind
1) твой сервер к корневым серверам ДНС по любому обращаться будет
2) твой сервер ДНС будет отвечать любому идиоту который обратиться к нему из сети. если ты его пакетным фильтром не прикроешь
3) твой сервер ДНС будет отвечать любому идиоту который обратиться к нему из сети. если у тебя старая версия бинд или ты не настроил конфиг так, чтобы не авторизованные адреса черпали инфу из кеша твоего ДНС (allow-query & allow-query-cache & доки тебе в помощь)
4) на этом все. удачи.
PS
доки тут - http://www.isc.org/
PSS
8.8.8.8 - это да! это круто! тут полно телепатов - их тут больше чем в других местах. приходи еще.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как найти источник такого трафика в системе ?"	+/–
Сообщение от reader (ok) on 13-Апр-11, 14:41
>[оверквотинг удален] > 7 udp4 :514 > > :* > > понятно что это днс, но по почему он так часто туда ломится > и почему на 59.182.x.x.53 ведь в /etc/resolv.conf у меня: > > domain localhost > nameserver 8.8.8.8 > а где видно что 10.14.x.x это адрес этой freeBSD
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Как найти источник такого трафика в системе ?"	+/–
	Сообщение от sergeyfromkomi (ok) on 13-Апр-11, 15:01
	>[оверквотинг удален] >> >> : >> >> понятно что это днс, но по почему он так часто туда ломится >> и почему на 59.182.x.x.53 ведь в /etc/resolv.conf у меня: >> >> domain localhost >> nameserver 8.8.8.8 >> > а где видно что 10.14.x.x это адрес этой freeBSD 10.14.x.x это и есть машина где я ищу источник трафика, у этой тачки два интерфейса 10.14.x.x и 172.2.250.240 это сервер под zabbix мониторит только внутреннюю сеть... я хочу найти процесс что генерит dns запросы.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Как найти источник такого трафика в системе ?"	+/–
	Сообщение от reader (ok) on 13-Апр-11, 15:46
	>[оверквотинг удален] >>> и почему на 59.182.x.x.53 ведь в /etc/resolv.conf у меня: >>> >>> domain localhost >>> nameserver 8.8.8.8 >>> >> а где видно что 10.14.x.x это адрес этой freeBSD > 10.14.x.x это и есть машина где я ищу источник трафика, у этой > тачки два интерфейса 10.14.x.x и 172.2.250.240 > это сервер под zabbix мониторит только внутреннюю сеть... > я хочу найти процесс что генерит dns запросы. значит ищите куда прописали имя xl0 , к которому потом в запросе добавляется ваш domain localhost
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "Как найти источник такого трафика в системе ?"	+/–
Сообщение от universite (ok) on 14-Апр-11, 03:59
какое-то приложение делает запрос к внешнему ДНС. Пробуйте отловить создание чайлда и его обращение.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

5. "Как найти источник такого трафика в системе ?"	+/–
Сообщение от LSTemp (ok) on 14-Апр-11, 16:17
0) не телепатирую тип твоего ДНС - предполагаю bind 1) твой сервер к корневым серверам ДНС по любому обращаться будет 2) твой сервер ДНС будет отвечать любому идиоту который обратиться к нему из сети. если ты его пакетным фильтром не прикроешь 3) твой сервер ДНС будет отвечать любому идиоту который обратиться к нему из сети. если у тебя старая версия бинд или ты не настроил конфиг так, чтобы не авторизованные адреса черпали инфу из кеша твоего ДНС (allow-query & allow-query-cache & доки тебе в помощь) 4) на этом все. удачи. PS доки тут - http://www.isc.org/ PSS 8.8.8.8 - это да! это круто! тут полно телепатов - их тут больше чем в других местах. приходи еще.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору