Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
|
вроде он не такой уж и подозрительный 16.12.04 09:11 Число просмотров: 2998
Автор: LLL <Алексей> Статус: Member
|
> привет.
> вопрос у меня такой. мой домашний комп подключен к
> локальной сетке, ну и "через нее" я выхожу в инет.
> сегодня запустил tcpdump и обнаружил страннейший трафик
> между мной и локальным dns-сервером. я так понял, мой комп
> с непонятной мне целью резолвит (?) совершенно рандомные
> айпишники. например:
Адреса, которые резолвятся не совсем рандомные.
Они состоят из адресов, которые скорее всего из вашей локалки, и мультикаст адресов, которые опять же обычно в локалках используются.
Так что видимо кто-то на машине засекает обращения "соседних" компов и пытается узнать, как их зовут, м.б. для записи в логи их обращений/попыток.
> ---------------------------------------------<![CDATA[</font>> 02:05:35.381527 IP spritz-gw.32801 > inet.lan.domain:
> 8507+ PTR? 62.0.168.192.in-addr.arpa. (43)
... безжалостно удаленный фрагмент ...
> ]]>---------------------------------------------
>
> я удивляюсь, что мне еще ничего не сказал пров...
Поэтому у прова и не может быть никаких возражений, ибо его интересы никоим образом не задеты.
|
|
<beginners>
|
стремный трафик 16.12.04 02:08
Автор: Dude Статус: Незарегистрированный пользователь
Отредактировано 16.12.04 11:28 Количество правок: 4
|
привет.
вопрос у меня такой. мой домашний комп подключен к локальной сетке, ну и "через нее" я выхожу в инет.
сегодня запустил tcpdump и обнаружил страннейший трафик между мной и локальным dns-сервером. я так понял, мой комп с непонятной мне целью резолвит (?) совершенно рандомные айпишники. например:
---------------------------------------------<![CDATA[
02:05:35.381527 IP spritz-gw.32801 > inet.lan.domain: 8507+ PTR? 62.0.168.192.in-addr.arpa. (43)
02:05:35.383661 IP inet.lan.domain > spritz-gw.32801: 8507 NXDomain* 0/1/0 (96)
02:05:35.387523 IP spritz-gw.32801 > inet.lan.domain: 8508+ PTR? 96.3.168.192.in-addr.arpa. (43)
02:05:35.388388 IP inet.lan.domain > spritz-gw.32801: 8508 NXDomain* 0/1/0 (96)
02:05:35.394755 IP spritz-gw.32801 > inet.lan.domain: 8509+ PTR? 119.183.254.236.in-addr.arpa. (46)
02:05:35.454225 IP inet.lan.domain > spritz-gw.32801: 8509 NXDomain 0/1/0 (119)
02:05:35.455767 IP spritz-gw.32801 > inet.lan.domain: 8510+ PTR? 13.2.168.192.in-addr.arpa. (43)
02:05:35.456606 IP inet.lan.domain > spritz-gw.32801: 8510 NXDomain* 0/1/0 (96)
02:05:35.463601 IP spritz-gw.32801 > inet.lan.domain: 8511+ PTR? 92.2.168.192.in-addr.arpa. (43)
02:05:35.464434 IP inet.lan.domain > spritz-gw.32801: 8511 NXDomain* 0/1/0 (96)
02:05:35.468601 IP spritz-gw.32801 > inet.lan.domain: 8512+ PTR? 255.2.168.192.in-addr.arpa. (44)
02:05:35.469420 IP inet.lan.domain > spritz-gw.32801: 8512 NXDomain* 0/1/0 (97)
02:05:35.470189 IP spritz-gw.32801 > inet.lan.domain: 8513+ PTR? 61.2.168.192.in-addr.arpa. (43)
02:05:35.470998 IP inet.lan.domain > spritz-gw.32801: 8513 NXDomain* 0/1/0 (96)
02:05:35.472331 IP spritz-gw.32801 > inet.lan.domain: 8514+ PTR? 17.88.159.234.in-addr.arpa. (44)
02:05:35.530542 IP inet.lan.domain > spritz-gw.32801: 8514 NXDomain 0/1/0 (117)
02:05:35.532694 IP spritz-gw.32801 > inet.lan.domain: 8515+ PTR? 199.3.168.192.in-addr.arpa. (44)
02:05:35.533566 IP inet.lan.domain > spritz-gw.32801: 8515 NXDomain* 0/1/0 (97)
02:05:35.538105 IP spritz-gw.32801 > inet.lan.domain: 8516+ PTR? 10.218.137.239.in-addr.arpa. (45)
02:05:35.596609 IP inet.lan.domain > spritz-gw.32801: 8516 NXDomain 0/1/0 (118)
02:05:35.597833 IP spritz-gw.32801 > inet.lan.domain: 8517+ PTR? 67.0.168.192.in-addr.arpa. (43)
02:05:35.599763 IP inet.lan.domain > spritz-gw.32801: 8517 NXDomain* 0/1/0 (96)
]]>---------------------------------------------
^^^^^^ и вот так все время! ^^^^^^^
я удивляюсь, что мне еще ничего не сказал пров...
список процессов, крутящихся на тачке, таков (по максимуму убил ненужное):
---------------------------------------------<![CDATA[
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.3 1580 516 ? S Dec15 0:02 init [3]
root 2 0.0 0.0 0 0 ? SWN Dec15 0:00 [ksoftirqd/0]
root 3 0.0 0.0 0 0 ? SW< Dec15 0:00 [events/0]
root 4 0.0 0.0 0 0 ? SW< Dec15 0:00 [kblockd/0]
root 5 0.0 0.0 0 0 ? SW Dec15 0:00 [kapmd]
root 6 0.0 0.0 0 0 ? SW Dec15 0:00 [pdflush]
root 7 0.0 0.0 0 0 ? SW Dec15 0:00 [pdflush]
root 8 0.0 0.0 0 0 ? SW Dec15 0:00 [kswapd0]
root 9 0.0 0.0 0 0 ? SW< Dec15 0:00 [aio/0]
root 11 0.0 0.0 0 0 ? SW Dec15 0:00 [kseriod]
root 110 0.0 0.7 2036 1172 ? S Dec15 0:01 devfsd /dev
root 497 0.0 0.0 0 0 ? SW Dec15 0:00 [khubd]
root 1268 0.0 0.3 1640 632 ? S Dec15 0:00 syslogd -m 0
root 1276 0.0 0.9 2560 1536 ? S Dec15 0:00 klogd -2
root 1460 0.0 0.3 1624 624 ? S Dec15 0:00 crond
root 1479 0.0 0.8 3328 1376 ? S Dec15 0:00 /usr/local/ssh/sbin/sshd
root 8967 0.0 1.0 3480 1640 ? S 02:00 0:00 sshd: root@pts/2
root 8969 0.0 1.0 2768 1616 pts2 S 02:00 0:00 -bash
root 9011 0.0 0.4 2420 780 pts2 R 02:07 0:00 ps aux
]]>------------------------------------------
ну и вот собственно вопрос, что это за трафик, чем он генерится, зачем он нужен?
спасибо.
|
|
вроде он не такой уж и подозрительный 16.12.04 09:11
Автор: LLL <Алексей> Статус: Member
|
> привет.
> вопрос у меня такой. мой домашний комп подключен к
> локальной сетке, ну и "через нее" я выхожу в инет.
> сегодня запустил tcpdump и обнаружил страннейший трафик
> между мной и локальным dns-сервером. я так понял, мой комп
> с непонятной мне целью резолвит (?) совершенно рандомные
> айпишники. например:
Адреса, которые резолвятся не совсем рандомные.
Они состоят из адресов, которые скорее всего из вашей локалки, и мультикаст адресов, которые опять же обычно в локалках используются.
Так что видимо кто-то на машине засекает обращения "соседних" компов и пытается узнать, как их зовут, м.б. для записи в логи их обращений/попыток.
> ---------------------------------------------<![CDATA[</font>> 02:05:35.381527 IP spritz-gw.32801 > inet.lan.domain:
> 8507+ PTR? 62.0.168.192.in-addr.arpa. (43)
... безжалостно удаленный фрагмент ...
> ]]>---------------------------------------------
>
> я удивляюсь, что мне еще ничего не сказал пров...
Поэтому у прова и не может быть никаких возражений, ибо его интересы никоим образом не задеты.
|
| |
так, я бегиннер, мне можно :) 16.12.04 11:55
Автор: Dude Статус: Незарегистрированный пользователь
|
мда, то, что большинство адресов заканчивается на "...168.192", я как-то не заметил :)
насколько я понимаю, в ответ буквально на каждый арп-запрос типа "arp who-has X tell Y" тачка пытается определить доменные имена X и Y. и, может быть, не только на arp-ы.
это ужасно, по-моему. и по крайней мере излишне и бесполезно.
можно ли это как-нибудь "отключить"?
|
| | |
Насколько я знаю, это не тачка пытается резолвить 16.12.04 12:47
Автор: amirul <Serge> Статус: The Elderman
|
> можно ли это как-нибудь "отключить"?
А сам tcpdump. Чтоб отключить - посмотри в мане должен быть ключ типа "не резолвить tcp-адреса в имена"
|
|
|
подробно о проекте
Анализ криптографических сетевых...
