информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Утекший код XP и Windows Server... 
 Дела виртуальные 
 Простое пробивание рабочего/провайдерского... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Насколько я знаю, это не тачка пытается резолвить 16.12.04 12:47  Число просмотров: 2211
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> можно ли это как-нибудь "отключить"?
А сам tcpdump. Чтоб отключить - посмотри в мане должен быть ключ типа "не резолвить tcp-адреса в имена"
<beginners>
стремный трафик 16.12.04 02:08  
Автор: Dude Статус: Незарегистрированный пользователь
Отредактировано 16.12.04 11:28  Количество правок: 4
<"чистая" ссылка>
привет.
вопрос у меня такой. мой домашний комп подключен к локальной сетке, ну и "через нее" я выхожу в инет.
сегодня запустил tcpdump и обнаружил страннейший трафик между мной и локальным dns-сервером. я так понял, мой комп с непонятной мне целью резолвит (?) совершенно рандомные айпишники. например:

--------------------------------------------- 02:05:35.381527 IP spritz-gw.32801 &gt; inet.lan.domain: 8507+ PTR? 62.0.168.192.in-addr.arpa. (43) 02:05:35.383661 IP inet.lan.domain &gt; spritz-gw.32801: 8507 NXDomain* 0/1/0 (96) 02:05:35.387523 IP spritz-gw.32801 &gt; inet.lan.domain: 8508+ PTR? 96.3.168.192.in-addr.arpa. (43) 02:05:35.388388 IP inet.lan.domain &gt; spritz-gw.32801: 8508 NXDomain* 0/1/0 (96) 02:05:35.394755 IP spritz-gw.32801 &gt; inet.lan.domain: 8509+ PTR? 119.183.254.236.in-addr.arpa. (46) 02:05:35.454225 IP inet.lan.domain &gt; spritz-gw.32801: 8509 NXDomain 0/1/0 (119) 02:05:35.455767 IP spritz-gw.32801 &gt; inet.lan.domain: 8510+ PTR? 13.2.168.192.in-addr.arpa. (43) 02:05:35.456606 IP inet.lan.domain &gt; spritz-gw.32801: 8510 NXDomain* 0/1/0 (96) 02:05:35.463601 IP spritz-gw.32801 &gt; inet.lan.domain: 8511+ PTR? 92.2.168.192.in-addr.arpa. (43) 02:05:35.464434 IP inet.lan.domain &gt; spritz-gw.32801: 8511 NXDomain* 0/1/0 (96) 02:05:35.468601 IP spritz-gw.32801 &gt; inet.lan.domain: 8512+ PTR? 255.2.168.192.in-addr.arpa. (44) 02:05:35.469420 IP inet.lan.domain &gt; spritz-gw.32801: 8512 NXDomain* 0/1/0 (97) 02:05:35.470189 IP spritz-gw.32801 &gt; inet.lan.domain: 8513+ PTR? 61.2.168.192.in-addr.arpa. (43) 02:05:35.470998 IP inet.lan.domain &gt; spritz-gw.32801: 8513 NXDomain* 0/1/0 (96) 02:05:35.472331 IP spritz-gw.32801 &gt; inet.lan.domain: 8514+ PTR? 17.88.159.234.in-addr.arpa. (44) 02:05:35.530542 IP inet.lan.domain &gt; spritz-gw.32801: 8514 NXDomain 0/1/0 (117) 02:05:35.532694 IP spritz-gw.32801 &gt; inet.lan.domain: 8515+ PTR? 199.3.168.192.in-addr.arpa. (44) 02:05:35.533566 IP inet.lan.domain &gt; spritz-gw.32801: 8515 NXDomain* 0/1/0 (97) 02:05:35.538105 IP spritz-gw.32801 &gt; inet.lan.domain: 8516+ PTR? 10.218.137.239.in-addr.arpa. (45) 02:05:35.596609 IP inet.lan.domain &gt; spritz-gw.32801: 8516 NXDomain 0/1/0 (118) 02:05:35.597833 IP spritz-gw.32801 &gt; inet.lan.domain: 8517+ PTR? 67.0.168.192.in-addr.arpa. (43) 02:05:35.599763 IP inet.lan.domain &gt; spritz-gw.32801: 8517 NXDomain* 0/1/0 (96) ---------------------------------------------

^^^^^^ и вот так все время! ^^^^^^^
я удивляюсь, что мне еще ничего не сказал пров...
список процессов, крутящихся на тачке, таков (по максимуму убил ненужное):

--------------------------------------------- USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.0 0.3 1580 516 ? S Dec15 0:02 init [3] root 2 0.0 0.0 0 0 ? SWN Dec15 0:00 [ksoftirqd/0] root 3 0.0 0.0 0 0 ? SW&lt; Dec15 0:00 [events/0] root 4 0.0 0.0 0 0 ? SW&lt; Dec15 0:00 [kblockd/0] root 5 0.0 0.0 0 0 ? SW Dec15 0:00 [kapmd] root 6 0.0 0.0 0 0 ? SW Dec15 0:00 [pdflush] root 7 0.0 0.0 0 0 ? SW Dec15 0:00 [pdflush] root 8 0.0 0.0 0 0 ? SW Dec15 0:00 [kswapd0] root 9 0.0 0.0 0 0 ? SW&lt; Dec15 0:00 [aio/0] root 11 0.0 0.0 0 0 ? SW Dec15 0:00 [kseriod] root 110 0.0 0.7 2036 1172 ? S Dec15 0:01 devfsd /dev root 497 0.0 0.0 0 0 ? SW Dec15 0:00 [khubd] root 1268 0.0 0.3 1640 632 ? S Dec15 0:00 syslogd -m 0 root 1276 0.0 0.9 2560 1536 ? S Dec15 0:00 klogd -2 root 1460 0.0 0.3 1624 624 ? S Dec15 0:00 crond root 1479 0.0 0.8 3328 1376 ? S Dec15 0:00 /usr/local/ssh/sbin/sshd root 8967 0.0 1.0 3480 1640 ? S 02:00 0:00 sshd: root@pts/2 root 8969 0.0 1.0 2768 1616 pts2 S 02:00 0:00 -bash root 9011 0.0 0.4 2420 780 pts2 R 02:07 0:00 ps aux ------------------------------------------

ну и вот собственно вопрос, что это за трафик, чем он генерится, зачем он нужен?
спасибо.
вроде он не такой уж и подозрительный 16.12.04 09:11  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> привет.
> вопрос у меня такой. мой домашний комп подключен к
> локальной сетке, ну и "через нее" я выхожу в инет.
> сегодня запустил tcpdump и обнаружил страннейший трафик
> между мной и локальным dns-сервером. я так понял, мой комп
> с непонятной мне целью резолвит (?) совершенно рандомные
> айпишники. например:

Адреса, которые резолвятся не совсем рандомные.
Они состоят из адресов, которые скорее всего из вашей локалки, и мультикаст адресов, которые опять же обычно в локалках используются.
Так что видимо кто-то на машине засекает обращения "соседних" компов и пытается узнать, как их зовут, м.б. для записи в логи их обращений/попыток.

> ---------------------------------------------</font>&gt; 02:05:35.381527 IP spritz-gw.32801 &gt; inet.lan.domain: &gt; 8507+ PTR? 62.0.168.192.in-addr.arpa. (43) ... безжалостно удаленный фрагмент ... &gt; ---------------------------------------------
>
> я удивляюсь, что мне еще ничего не сказал пров...

Поэтому у прова и не может быть никаких возражений, ибо его интересы никоим образом не задеты.
так, я бегиннер, мне можно :) 16.12.04 11:55  
Автор: Dude Статус: Незарегистрированный пользователь
<"чистая" ссылка>
мда, то, что большинство адресов заканчивается на "...168.192", я как-то не заметил :)
насколько я понимаю, в ответ буквально на каждый арп-запрос типа "arp who-has X tell Y" тачка пытается определить доменные имена X и Y. и, может быть, не только на arp-ы.
это ужасно, по-моему. и по крайней мере излишне и бесполезно.
можно ли это как-нибудь "отключить"?
Насколько я знаю, это не тачка пытается резолвить 16.12.04 12:47  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> можно ли это как-нибудь "отключить"?
А сам tcpdump. Чтоб отключить - посмотри в мане должен быть ключ типа "не резолвить tcp-адреса в имена"
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach