Re: Паразитный трафик в сети

2006-04-17 Thread Artem Chuprina 
Poul -> debian-russian@lists.debian.org  @ Mon, 17 Apr 2006 22:49:39 +0400:

 P> Доброго времени суток!
 P> Поставил тут на днях bind, настроил, вроде работает, но в сети стало
 P> твориться что-то странное: примерно каждую секунду происходит обращение
 P> по сети. tcpdump на стороне клиента выдает вот это:

 P> 22:18:29.604174 IP hip.lan.32924 > pluto.lan.domain:  56363+ A?
 P> localhost.pluto.lan. (37)
 P> 22:18:29.604881 IP pluto.lan.domain > hip.lan.32924:  56363 NXDomain*
 P> 0/1/0 (76)
 P> 22:18:29.613853 IP hip.lan.32924 > pluto.lan.domain:  56364+ A?
 P> localhost. (27)
 P> 22:18:29.614475 IP pluto.lan.domain > hip.lan.32924:  56364* 1/1/1 A
 P> hip.lan (82)

 P> все остальное см. dump

 P> По-моему, такое поведение не нормально. Так же не могу понять кто на
 P> стороне клиента инициирует сообщение( пробовал lsof -i, но никакое
 P> приложение не использует порт 32924).

А ты точно про UDP спрашивал?  Вообще нельзя сказать, чтобы это было
шибко ненормальное поведение.  Странно, что кому-то оно надо раз в
секунду.  А еще, судя по первому запросу, клиент начинает искать
localhost в зоне pluto.lan, а должен, подозреваю - в зоне lan.  Это
настройка резолвера у клиента.

 P> Скажите, все нормально или я что-то делаю не так? В инете по данному
 P> вопросу ничего не нашел, может кто даст ключевые слова для поиска
 P> или поможет разобраться?

 P> Конфиги bind`а:

 P> -named.conf.local--
 P> zone "lan." {

Вот точка тут, подозреваю, лишняя.

-- 
Artem Chuprina
RFC2822:  Jabber: [EMAIL PROTECTED]

Intel - тоже Сильмарилл. Только сделанный не так...


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Паразитный трафик в сети

2006-04-17 Thread Mikolaj Golub 

On Mon, 17 Apr 2006 22:49:39 +0400 Poul wrote:

 P> Доброго времени суток!
 P> Поставил тут на днях bind, настроил, вроде работает, но в сети стало
 P> твориться что-то странное: примерно каждую секунду происходит обращение
 P> по сети. tcpdump на стороне клиента выдает вот это:

 P> 22:18:29.604174 IP hip.lan.32924 > pluto.lan.domain:  56363+ A?
 P> localhost.pluto.lan. (37)
 P> 22:18:29.604881 IP pluto.lan.domain > hip.lan.32924:  56363 NXDomain*
 P> 0/1/0 (76)
 P> 22:18:29.613853 IP hip.lan.32924 > pluto.lan.domain:  56364+ A?
 P> localhost. (27)
 P> 22:18:29.614475 IP pluto.lan.domain > hip.lan.32924:  56364* 1/1/1 A
 P> hip.lan (82)

rfc1536

   Some applications, in fact, prompt NXDOMAIN answers! When given a
   perfectly good name to resolve, they append the local domain to it
   e.g., an application in the domain "foo.bar.com", when trying to
   resolve the name "usc.edu" first tries "usc.edu.foo.bar.com", then
   "usc.edu.bar.com" and finally the good name "usc.edu". This causes at
   least two queries that return NXDOMAIN, for every good query. The
   problem is aggravated since the negative answers from the previous
   queries are not cached.  When the same name is sought again, the
   process repeats.

На hip.lan в /etc/hosts нету записи для localhost?

-- 
to my, trociny


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Паразитный трафик в сети

2006-04-18 Thread Poul 
Доброго времени суток!

Большой пасиб всем откликнувшимся!

Оказалось, что все я настроил совсем  не правильно...Точка в 
зонах действительно лишняя, в /etc/hosts, нету записи для 
localhost, да и dhcp раздавал хостам мягко говоря не то... 
Все поправил и активность исчезла и, вобщем, все нормализовалось. 

Сейчас просматриваю что творится в сети tcpdump`ом, в связи с чем возник
еще вопросик: что значат сообщения такого типа?

22:52:06.149658 arp who-has pluto.lan tell hip.lan
22:52:06.149835 arp reply pluto.lan is-at 00:e0:4d:02:43:7d
22:52:06.398402 arp who-has kost.lan tell pluto.lan
22:52:06.398578 arp reply kost.lan is-at 00:11:d8:58:3b:19

--
Всего наилучшего!

---
Архипов Павел
ICQ UIN: 200-031-329
E-mail: poul-hip_(at)_yandex.ru


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Паразитный трафик в сети

2006-04-18 Thread Mihail A Antonov 
On Tuesday 18 April 2006 22:54, Poul <[EMAIL PROTECTED]> wrote:
> Сейчас просматриваю что творится в сети tcpdump`ом, в связи с чем возник
> еще вопросик: что значат сообщения такого типа?
> 
> 22:52:06.149658 arp who-has pluto.lan tell hip.lan
> 22:52:06.149835 arp reply pluto.lan is-at 00:e0:4d:02:43:7d
> 22:52:06.398402 arp who-has kost.lan tell pluto.lan
> 22:52:06.398578 arp reply kost.lan is-at 00:11:d8:58:3b:19
Обычные ARP-запросы.
Если они не летают в диком количестве (20-50/сек) то все ок.
Если летают - стоит задуматься о вирусе-червяке, который сканирует сеть
и рассылает сам себя. Такую arp-актиность видел только в Центеле (МСК).
Там они забили на msblast, который гуляет по их локалке как хочет.

-- 
Best regards,
 Mihail

Re: Паразитный трафик в сети

2006-04-19 Thread Poul 
On 09:57 Wed 19 Apr , Mihail A Antonov wrote:
> On Tuesday 18 April 2006 22:54, Poul <[EMAIL PROTECTED]> wrote:
> Обычные ARP-запросы.
> Если они не летают в диком количестве (20-50/сек) то все ок.
> Если летают - стоит задуматься о вирусе-червяке, который сканирует сеть
> и рассылает сам себя. Такую arp-актиность видел только в Центеле (МСК).
> Там они забили на msblast, который гуляет по их локалке как хочет.
> 

Теперь все понятно.
Спасибо всем откликнувшимся!


-- 
Всего наилучшего!

---
Архипов Павел
ICQ UIN: 200-031-329
E-mail: poul-hip_(at)_yandex.ru


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]