заметил большой входящий трафик на порт 53
(named, настроенный другим админом, работал как кеш для всех)
заблокировал ипы, с которых он шел, но трафик все равно валится, хотя пакеты от них дропаются в iptables (они просто в пустоту шлют? :-\ )
писал владельцам сетей - тихо...
строчки из ulogd
Mar 27 11:04:28 www IN=eth0 OUT= MAC=xx SRC=66.103.143.233 DST=xx LEN=60 T
OS=00 PREC=0x00 TTL=43 ID=18697 DF PROTO=TCP SPT=37813 DPT=53 SEQ=2548665071 ACK=0 WINDOW=5840 SYN URGP=0
Mar 27 11:04:28 www IN=eth0 OUT= MAC=xx SRC=66.103.143.234 DST=xx LEN=60 T
OS=00 PREC=0x00 TTL=43 ID=38658 DF PROTO=TCP SPT=4323 DPT=53 SEQ=718051588 ACK=0 WINDOW=5840 SYN URGP=0
отличившиеся хосты (возможно не все)
216.22.104.4/6/11/12/13/15/16/71/72
66.103.143.231/232/233/234
в дампе tcpdump'а видно разные доткомы, но что именно в этих пакетах - не знаю
(есть где-то viewer DNS-запросов или что-то в этом духе?)
размер пакета практически всегда одинаков
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
