Re: Паразитный трафик в сети
Poul -> debian-russian@lists.debian.org @ Mon, 17 Apr 2006 22:49:39 +0400: P> Доброго времени суток! P> Поставил тут на днях bind, настроил, вроде работает, но в сети стало P> твориться что-то странное: примерно каждую секунду происходит обращение P> по сети. tcpdump на стороне клиента выдает вот это: P> 22:18:29.604174 IP hip.lan.32924 > pluto.lan.domain: 56363+ A? P> localhost.pluto.lan. (37) P> 22:18:29.604881 IP pluto.lan.domain > hip.lan.32924: 56363 NXDomain* P> 0/1/0 (76) P> 22:18:29.613853 IP hip.lan.32924 > pluto.lan.domain: 56364+ A? P> localhost. (27) P> 22:18:29.614475 IP pluto.lan.domain > hip.lan.32924: 56364* 1/1/1 A P> hip.lan (82) P> все остальное см. dump P> По-моему, такое поведение не нормально. Так же не могу понять кто на P> стороне клиента инициирует сообщение( пробовал lsof -i, но никакое P> приложение не использует порт 32924). А ты точно про UDP спрашивал? Вообще нельзя сказать, чтобы это было шибко ненормальное поведение. Странно, что кому-то оно надо раз в секунду. А еще, судя по первому запросу, клиент начинает искать localhost в зоне pluto.lan, а должен, подозреваю - в зоне lan. Это настройка резолвера у клиента. P> Скажите, все нормально или я что-то делаю не так? В инете по данному P> вопросу ничего не нашел, может кто даст ключевые слова для поиска P> или поможет разобраться? P> Конфиги bind`а: P> -named.conf.local-- P> zone "lan." { Вот точка тут, подозреваю, лишняя. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Intel - тоже Сильмарилл. Только сделанный не так... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Паразитный трафик в сети
On Mon, 17 Apr 2006 22:49:39 +0400 Poul wrote: P> Доброго времени суток! P> Поставил тут на днях bind, настроил, вроде работает, но в сети стало P> твориться что-то странное: примерно каждую секунду происходит обращение P> по сети. tcpdump на стороне клиента выдает вот это: P> 22:18:29.604174 IP hip.lan.32924 > pluto.lan.domain: 56363+ A? P> localhost.pluto.lan. (37) P> 22:18:29.604881 IP pluto.lan.domain > hip.lan.32924: 56363 NXDomain* P> 0/1/0 (76) P> 22:18:29.613853 IP hip.lan.32924 > pluto.lan.domain: 56364+ A? P> localhost. (27) P> 22:18:29.614475 IP pluto.lan.domain > hip.lan.32924: 56364* 1/1/1 A P> hip.lan (82) rfc1536 Some applications, in fact, prompt NXDOMAIN answers! When given a perfectly good name to resolve, they append the local domain to it e.g., an application in the domain "foo.bar.com", when trying to resolve the name "usc.edu" first tries "usc.edu.foo.bar.com", then "usc.edu.bar.com" and finally the good name "usc.edu". This causes at least two queries that return NXDOMAIN, for every good query. The problem is aggravated since the negative answers from the previous queries are not cached. When the same name is sought again, the process repeats. На hip.lan в /etc/hosts нету записи для localhost? -- to my, trociny -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Паразитный трафик в сети
Доброго времени суток! Большой пасиб всем откликнувшимся! Оказалось, что все я настроил совсем не правильно...Точка в зонах действительно лишняя, в /etc/hosts, нету записи для localhost, да и dhcp раздавал хостам мягко говоря не то... Все поправил и активность исчезла и, вобщем, все нормализовалось. Сейчас просматриваю что творится в сети tcpdump`ом, в связи с чем возник еще вопросик: что значат сообщения такого типа? 22:52:06.149658 arp who-has pluto.lan tell hip.lan 22:52:06.149835 arp reply pluto.lan is-at 00:e0:4d:02:43:7d 22:52:06.398402 arp who-has kost.lan tell pluto.lan 22:52:06.398578 arp reply kost.lan is-at 00:11:d8:58:3b:19 -- Всего наилучшего! --- Архипов Павел ICQ UIN: 200-031-329 E-mail: poul-hip_(at)_yandex.ru -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Паразитный трафик в сети
On Tuesday 18 April 2006 22:54, Poul <[EMAIL PROTECTED]> wrote: > Сейчас просматриваю что творится в сети tcpdump`ом, в связи с чем возник > еще вопросик: что значат сообщения такого типа? > > 22:52:06.149658 arp who-has pluto.lan tell hip.lan > 22:52:06.149835 arp reply pluto.lan is-at 00:e0:4d:02:43:7d > 22:52:06.398402 arp who-has kost.lan tell pluto.lan > 22:52:06.398578 arp reply kost.lan is-at 00:11:d8:58:3b:19 Обычные ARP-запросы. Если они не летают в диком количестве (20-50/сек) то все ок. Если летают - стоит задуматься о вирусе-червяке, который сканирует сеть и рассылает сам себя. Такую arp-актиность видел только в Центеле (МСК). Там они забили на msblast, который гуляет по их локалке как хочет. -- Best regards, Mihail
Re: Паразитный трафик в сети
On 09:57 Wed 19 Apr , Mihail A Antonov wrote: > On Tuesday 18 April 2006 22:54, Poul <[EMAIL PROTECTED]> wrote: > Обычные ARP-запросы. > Если они не летают в диком количестве (20-50/сек) то все ок. > Если летают - стоит задуматься о вирусе-червяке, который сканирует сеть > и рассылает сам себя. Такую arp-актиность видел только в Центеле (МСК). > Там они забили на msblast, который гуляет по их локалке как хочет. > Теперь все понятно. Спасибо всем откликнувшимся! -- Всего наилучшего! --- Архипов Павел ICQ UIN: 200-031-329 E-mail: poul-hip_(at)_yandex.ru -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]