BugTraq.Ru: форум / beginners / Насколько я знаю, это не тачка пытается резолвить

информационная безопасность
без паники и всерьез

подробно о проекте

Анализ криптографических сетевых...

Модель надежности двухузлового...

Специальные марковские модели надежности...

Очередное исследование 19 миллиардов...

Оптимизация ввода-вывода как инструмент...

Зловреды выбирают Lisp и Delphi

bugtraq.ru / форум / beginners

Имя

Пароль

если вы видите этот текст, отключите в настройках форума использование JavaScript


ФОРУМ


	все доски
	FAQ
	IRC
	новые сообщения

	site updates
	guestbook
	beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap

регистрация

Легенда:

новое сообщение

закрытая нитка

новое сообщение

в закрытой нитке

старое сообщение

Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
Новичкам также крайне полезно ознакомиться с данным документом.

Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.

Насколько я знаю, это не тачка пытается резолвить 16.12.04 12:47 Число просмотров: 2971
Автор: amirul <Serge> Статус: The Elderman

<"чистая" ссылка>

> можно ли это как-нибудь "отключить"?
А сам tcpdump. Чтоб отключить - посмотри в мане должен быть ключ типа "не резолвить tcp-адреса в имена"

стремный трафик 16.12.04 02:08
Автор: Dude Статус: Незарегистрированный пользователь
Отредактировано 16.12.04 11:28 Количество правок: 4

<"чистая" ссылка>

привет.
вопрос у меня такой. мой домашний комп подключен к локальной сетке, ну и "через нее" я выхожу в инет.
сегодня запустил tcpdump и обнаружил страннейший трафик между мной и локальным dns-сервером. я так понял, мой комп с непонятной мне целью резолвит (?) совершенно рандомные айпишники. например:

--------------------------------------------- 02:05:35.381527 IP spritz-gw.32801 > inet.lan.domain: 8507+ PTR? 62.0.168.192.in-addr.arpa. (43) 02:05:35.383661 IP inet.lan.domain > spritz-gw.32801: 8507 NXDomain* 0/1/0 (96) 02:05:35.387523 IP spritz-gw.32801 > inet.lan.domain: 8508+ PTR? 96.3.168.192.in-addr.arpa. (43) 02:05:35.388388 IP inet.lan.domain > spritz-gw.32801: 8508 NXDomain* 0/1/0 (96) 02:05:35.394755 IP spritz-gw.32801 > inet.lan.domain: 8509+ PTR? 119.183.254.236.in-addr.arpa. (46) 02:05:35.454225 IP inet.lan.domain > spritz-gw.32801: 8509 NXDomain 0/1/0 (119) 02:05:35.455767 IP spritz-gw.32801 > inet.lan.domain: 8510+ PTR? 13.2.168.192.in-addr.arpa. (43) 02:05:35.456606 IP inet.lan.domain > spritz-gw.32801: 8510 NXDomain* 0/1/0 (96) 02:05:35.463601 IP spritz-gw.32801 > inet.lan.domain: 8511+ PTR? 92.2.168.192.in-addr.arpa. (43) 02:05:35.464434 IP inet.lan.domain > spritz-gw.32801: 8511 NXDomain* 0/1/0 (96) 02:05:35.468601 IP spritz-gw.32801 > inet.lan.domain: 8512+ PTR? 255.2.168.192.in-addr.arpa. (44) 02:05:35.469420 IP inet.lan.domain > spritz-gw.32801: 8512 NXDomain* 0/1/0 (97) 02:05:35.470189 IP spritz-gw.32801 > inet.lan.domain: 8513+ PTR? 61.2.168.192.in-addr.arpa. (43) 02:05:35.470998 IP inet.lan.domain > spritz-gw.32801: 8513 NXDomain* 0/1/0 (96) 02:05:35.472331 IP spritz-gw.32801 > inet.lan.domain: 8514+ PTR? 17.88.159.234.in-addr.arpa. (44) 02:05:35.530542 IP inet.lan.domain > spritz-gw.32801: 8514 NXDomain 0/1/0 (117) 02:05:35.532694 IP spritz-gw.32801 > inet.lan.domain: 8515+ PTR? 199.3.168.192.in-addr.arpa. (44) 02:05:35.533566 IP inet.lan.domain > spritz-gw.32801: 8515 NXDomain* 0/1/0 (97) 02:05:35.538105 IP spritz-gw.32801 > inet.lan.domain: 8516+ PTR? 10.218.137.239.in-addr.arpa. (45) 02:05:35.596609 IP inet.lan.domain > spritz-gw.32801: 8516 NXDomain 0/1/0 (118) 02:05:35.597833 IP spritz-gw.32801 > inet.lan.domain: 8517+ PTR? 67.0.168.192.in-addr.arpa. (43) 02:05:35.599763 IP inet.lan.domain > spritz-gw.32801: 8517 NXDomain* 0/1/0 (96) ---------------------------------------------

^^^^^^ и вот так все время! ^^^^^^^
я удивляюсь, что мне еще ничего не сказал пров...
список процессов, крутящихся на тачке, таков (по максимуму убил ненужное):

--------------------------------------------- USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.0 0.3 1580 516 ? S Dec15 0:02 init [3] root 2 0.0 0.0 0 0 ? SWN Dec15 0:00 [ksoftirqd/0] root 3 0.0 0.0 0 0 ? SW< Dec15 0:00 [events/0] root 4 0.0 0.0 0 0 ? SW< Dec15 0:00 [kblockd/0] root 5 0.0 0.0 0 0 ? SW Dec15 0:00 [kapmd] root 6 0.0 0.0 0 0 ? SW Dec15 0:00 [pdflush] root 7 0.0 0.0 0 0 ? SW Dec15 0:00 [pdflush] root 8 0.0 0.0 0 0 ? SW Dec15 0:00 [kswapd0] root 9 0.0 0.0 0 0 ? SW< Dec15 0:00 [aio/0] root 11 0.0 0.0 0 0 ? SW Dec15 0:00 [kseriod] root 110 0.0 0.7 2036 1172 ? S Dec15 0:01 devfsd /dev root 497 0.0 0.0 0 0 ? SW Dec15 0:00 [khubd] root 1268 0.0 0.3 1640 632 ? S Dec15 0:00 syslogd -m 0 root 1276 0.0 0.9 2560 1536 ? S Dec15 0:00 klogd -2 root 1460 0.0 0.3 1624 624 ? S Dec15 0:00 crond root 1479 0.0 0.8 3328 1376 ? S Dec15 0:00 /usr/local/ssh/sbin/sshd root 8967 0.0 1.0 3480 1640 ? S 02:00 0:00 sshd: root@pts/2 root 8969 0.0 1.0 2768 1616 pts2 S 02:00 0:00 -bash root 9011 0.0 0.4 2420 780 pts2 R 02:07 0:00 ps aux ------------------------------------------

ну и вот собственно вопрос, что это за трафик, чем он генерится, зачем он нужен?
спасибо.

вроде он не такой уж и подозрительный 16.12.04 09:11
Автор: LLL <Алексей> Статус: Member

<"чистая" ссылка>

> привет.
> вопрос у меня такой. мой домашний комп подключен к
> локальной сетке, ну и "через нее" я выхожу в инет.
> сегодня запустил tcpdump и обнаружил страннейший трафик
> между мной и локальным dns-сервером. я так понял, мой комп
> с непонятной мне целью резолвит (?) совершенно рандомные
> айпишники. например:

Адреса, которые резолвятся не совсем рандомные.
Они состоят из адресов, которые скорее всего из вашей локалки, и мультикаст адресов, которые опять же обычно в локалках используются.
Так что видимо кто-то на машине засекает обращения "соседних" компов и пытается узнать, как их зовут, м.б. для записи в логи их обращений/попыток.

> ---------------------------------------------</font>> 02:05:35.381527 IP spritz-gw.32801 > inet.lan.domain: > 8507+ PTR? 62.0.168.192.in-addr.arpa. (43) ... безжалостно удаленный фрагмент ... > ---------------------------------------------
>
> я удивляюсь, что мне еще ничего не сказал пров...

Поэтому у прова и не может быть никаких возражений, ибо его интересы никоим образом не задеты.

так, я бегиннер, мне можно :) 16.12.04 11:55
Автор: Dude Статус: Незарегистрированный пользователь

<"чистая" ссылка>

мда, то, что большинство адресов заканчивается на "...168.192", я как-то не заметил :)
насколько я понимаю, в ответ буквально на каждый арп-запрос типа "arp who-has X tell Y" тачка пытается определить доменные имена X и Y. и, может быть, не только на arp-ы.
это ужасно, по-моему. и по крайней мере излишне и бесполезно.
можно ли это как-нибудь "отключить"?

Насколько я знаю, это не тачка пытается резолвить 16.12.04 12:47
Автор: amirul <Serge> Статус: The Elderman

<"чистая" ссылка>

Page build time: 0 s

Design: Vadim Derkach