информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsSpanning Tree Protocol: недокументированное применениеГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
так, я бегиннер, мне можно :) 16.12.04 11:55  Число просмотров: 2584
Автор: Dude Статус: Незарегистрированный пользователь
<"чистая" ссылка>
мда, то, что большинство адресов заканчивается на "...168.192", я как-то не заметил :)
насколько я понимаю, в ответ буквально на каждый арп-запрос типа "arp who-has X tell Y" тачка пытается определить доменные имена X и Y. и, может быть, не только на arp-ы.
это ужасно, по-моему. и по крайней мере излишне и бесполезно.
можно ли это как-нибудь "отключить"?
<beginners>
стремный трафик 16.12.04 02:08  
Автор: Dude Статус: Незарегистрированный пользователь
Отредактировано 16.12.04 11:28  Количество правок: 4
<"чистая" ссылка>
привет.
вопрос у меня такой. мой домашний комп подключен к локальной сетке, ну и "через нее" я выхожу в инет.
сегодня запустил tcpdump и обнаружил страннейший трафик между мной и локальным dns-сервером. я так понял, мой комп с непонятной мне целью резолвит (?) совершенно рандомные айпишники. например:

--------------------------------------------- 02:05:35.381527 IP spritz-gw.32801 &gt; inet.lan.domain: 8507+ PTR? 62.0.168.192.in-addr.arpa. (43) 02:05:35.383661 IP inet.lan.domain &gt; spritz-gw.32801: 8507 NXDomain* 0/1/0 (96) 02:05:35.387523 IP spritz-gw.32801 &gt; inet.lan.domain: 8508+ PTR? 96.3.168.192.in-addr.arpa. (43) 02:05:35.388388 IP inet.lan.domain &gt; spritz-gw.32801: 8508 NXDomain* 0/1/0 (96) 02:05:35.394755 IP spritz-gw.32801 &gt; inet.lan.domain: 8509+ PTR? 119.183.254.236.in-addr.arpa. (46) 02:05:35.454225 IP inet.lan.domain &gt; spritz-gw.32801: 8509 NXDomain 0/1/0 (119) 02:05:35.455767 IP spritz-gw.32801 &gt; inet.lan.domain: 8510+ PTR? 13.2.168.192.in-addr.arpa. (43) 02:05:35.456606 IP inet.lan.domain &gt; spritz-gw.32801: 8510 NXDomain* 0/1/0 (96) 02:05:35.463601 IP spritz-gw.32801 &gt; inet.lan.domain: 8511+ PTR? 92.2.168.192.in-addr.arpa. (43) 02:05:35.464434 IP inet.lan.domain &gt; spritz-gw.32801: 8511 NXDomain* 0/1/0 (96) 02:05:35.468601 IP spritz-gw.32801 &gt; inet.lan.domain: 8512+ PTR? 255.2.168.192.in-addr.arpa. (44) 02:05:35.469420 IP inet.lan.domain &gt; spritz-gw.32801: 8512 NXDomain* 0/1/0 (97) 02:05:35.470189 IP spritz-gw.32801 &gt; inet.lan.domain: 8513+ PTR? 61.2.168.192.in-addr.arpa. (43) 02:05:35.470998 IP inet.lan.domain &gt; spritz-gw.32801: 8513 NXDomain* 0/1/0 (96) 02:05:35.472331 IP spritz-gw.32801 &gt; inet.lan.domain: 8514+ PTR? 17.88.159.234.in-addr.arpa. (44) 02:05:35.530542 IP inet.lan.domain &gt; spritz-gw.32801: 8514 NXDomain 0/1/0 (117) 02:05:35.532694 IP spritz-gw.32801 &gt; inet.lan.domain: 8515+ PTR? 199.3.168.192.in-addr.arpa. (44) 02:05:35.533566 IP inet.lan.domain &gt; spritz-gw.32801: 8515 NXDomain* 0/1/0 (97) 02:05:35.538105 IP spritz-gw.32801 &gt; inet.lan.domain: 8516+ PTR? 10.218.137.239.in-addr.arpa. (45) 02:05:35.596609 IP inet.lan.domain &gt; spritz-gw.32801: 8516 NXDomain 0/1/0 (118) 02:05:35.597833 IP spritz-gw.32801 &gt; inet.lan.domain: 8517+ PTR? 67.0.168.192.in-addr.arpa. (43) 02:05:35.599763 IP inet.lan.domain &gt; spritz-gw.32801: 8517 NXDomain* 0/1/0 (96) ---------------------------------------------

^^^^^^ и вот так все время! ^^^^^^^
я удивляюсь, что мне еще ничего не сказал пров...
список процессов, крутящихся на тачке, таков (по максимуму убил ненужное):

--------------------------------------------- USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.0 0.3 1580 516 ? S Dec15 0:02 init [3] root 2 0.0 0.0 0 0 ? SWN Dec15 0:00 [ksoftirqd/0] root 3 0.0 0.0 0 0 ? SW&lt; Dec15 0:00 [events/0] root 4 0.0 0.0 0 0 ? SW&lt; Dec15 0:00 [kblockd/0] root 5 0.0 0.0 0 0 ? SW Dec15 0:00 [kapmd] root 6 0.0 0.0 0 0 ? SW Dec15 0:00 [pdflush] root 7 0.0 0.0 0 0 ? SW Dec15 0:00 [pdflush] root 8 0.0 0.0 0 0 ? SW Dec15 0:00 [kswapd0] root 9 0.0 0.0 0 0 ? SW&lt; Dec15 0:00 [aio/0] root 11 0.0 0.0 0 0 ? SW Dec15 0:00 [kseriod] root 110 0.0 0.7 2036 1172 ? S Dec15 0:01 devfsd /dev root 497 0.0 0.0 0 0 ? SW Dec15 0:00 [khubd] root 1268 0.0 0.3 1640 632 ? S Dec15 0:00 syslogd -m 0 root 1276 0.0 0.9 2560 1536 ? S Dec15 0:00 klogd -2 root 1460 0.0 0.3 1624 624 ? S Dec15 0:00 crond root 1479 0.0 0.8 3328 1376 ? S Dec15 0:00 /usr/local/ssh/sbin/sshd root 8967 0.0 1.0 3480 1640 ? S 02:00 0:00 sshd: root@pts/2 root 8969 0.0 1.0 2768 1616 pts2 S 02:00 0:00 -bash root 9011 0.0 0.4 2420 780 pts2 R 02:07 0:00 ps aux ------------------------------------------

ну и вот собственно вопрос, что это за трафик, чем он генерится, зачем он нужен?
спасибо.
вроде он не такой уж и подозрительный 16.12.04 09:11  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> привет.
> вопрос у меня такой. мой домашний комп подключен к
> локальной сетке, ну и "через нее" я выхожу в инет.
> сегодня запустил tcpdump и обнаружил страннейший трафик
> между мной и локальным dns-сервером. я так понял, мой комп
> с непонятной мне целью резолвит (?) совершенно рандомные
> айпишники. например:

Адреса, которые резолвятся не совсем рандомные.
Они состоят из адресов, которые скорее всего из вашей локалки, и мультикаст адресов, которые опять же обычно в локалках используются.
Так что видимо кто-то на машине засекает обращения "соседних" компов и пытается узнать, как их зовут, м.б. для записи в логи их обращений/попыток.

> ---------------------------------------------</font>&gt; 02:05:35.381527 IP spritz-gw.32801 &gt; inet.lan.domain: &gt; 8507+ PTR? 62.0.168.192.in-addr.arpa. (43) ... безжалостно удаленный фрагмент ... &gt; ---------------------------------------------
>
> я удивляюсь, что мне еще ничего не сказал пров...

Поэтому у прова и не может быть никаких возражений, ибо его интересы никоим образом не задеты.
так, я бегиннер, мне можно :) 16.12.04 11:55  
Автор: Dude Статус: Незарегистрированный пользователь
<"чистая" ссылка>
мда, то, что большинство адресов заканчивается на "...168.192", я как-то не заметил :)
насколько я понимаю, в ответ буквально на каждый арп-запрос типа "arp who-has X tell Y" тачка пытается определить доменные имена X и Y. и, может быть, не только на arp-ы.
это ужасно, по-моему. и по крайней мере излишне и бесполезно.
можно ли это как-нибудь "отключить"?
Насколько я знаю, это не тачка пытается резолвить 16.12.04 12:47  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> можно ли это как-нибудь "отключить"?
А сам tcpdump. Чтоб отключить - посмотри в мане должен быть ключ типа "не резолвить tcp-адреса в имена"
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach