Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
sergeyfromkomi
- мл. сержант
- Сообщения: 137
- Зарегистрирован: 2009-12-22 11:43:28
Непрочитанное сообщение
sergeyfromkomi » 2011-04-13 13:03:15
Как найти источник такого трафика в системе :
Код: Выделить всё
13:18:08.843637 IP 10.14.x.x.28973 > 59.182.x.x.53: 17738+ A? xl0.localhost. (31)
13:18:08.845214 IP 59.182.x.x.53 > 10.14.x.x.28973: 17738 NXDomain* 0/1/0 (72)
13:18:08.845307 IP 10.14.x.x.10368 > 59.182.x.x.53: 17739+ AAAA? xl0.localhost. (31)
13:18:08.846883 IP 59.182.x.x.53 > 10.14.x.x.10368: 17739 NXDomain* 0/1/0 (72)
хотя socstat не показывает этого...
Код: Выделить всё
sockstat -4
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
zabbix perl5.10.1 49445 5 tcp4 *:10051 *:*
zabbix perl5.10.1 49445 7 tcp4 172.2.250.240:56192 172.2.250.250:23
zabbix fping 49444 5 tcp4 *:10051 *:*
cacti php 49403 5 udp4 *:27907 *:*
root sshd 49013 3 tcp4 172.2.250.240:22 10.14.x.x:2850
root smbd 36447 28 tcp4 172.2.250.240:445 10.14.6.190:49157
root snmptrapd 63586 10 udp4 *:162 *:*
root smbd 67030 28 tcp4 10.14.6.179:445 10.14.6.161:2244
www httpd 1145 16 tcp4 *:80 *:*
www httpd 1140 3 tcp4 172.2.250.240:80 10.14.6.163:4534
www httpd 1140 16 tcp4 *:80 *:*
www httpd 1136 3 tcp4 172.2.250.240:80 10.14.x.x:2887
www httpd 1136 16 tcp4 *:80 *:*
www httpd 1112 16 tcp4 *:80 *:*
www httpd 1108 16 tcp4 *:80 *:*
root inetd 1038 5 udp4 *:69 *:*
root sendmail 999 3 tcp4 127.0.0.1:25 *:*
www httpd 998 16 tcp4 *:80 *:*
www httpd 997 3 tcp4 172.2.250.240:80 10.14.6.163:4533
www httpd 997 16 tcp4 *:80 *:*
www httpd 996 16 tcp4 *:80 *:*
www httpd 995 3 tcp4 172.2.250.240:80 10.14.x.x:2886
www httpd 995 16 tcp4 *:80 *:*
www httpd 994 16 tcp4 *:80 *:*
root sshd 987 4 tcp4 *:22 *:*
root httpd 968 16 tcp4 *:80 *:*
zabbix zabbix_ser 966 5 tcp4 *:10051 *:*
zabbix zabbix_ser 965 5 tcp4 *:10051 *:*
zabbix zabbix_ser 964 5 tcp4 *:10051 *:*
zabbix zabbix_ser 963 5 tcp4 *:10051 *:*
zabbix zabbix_ser 962 5 tcp4 *:10051 *:*
zabbix zabbix_ser 961 5 tcp4 *:10051 *:*
zabbix zabbix_ser 960 5 tcp4 *:10051 *:*
zabbix zabbix_ser 959 5 tcp4 *:10051 *:*
zabbix zabbix_ser 958 5 tcp4 *:10051 *:*
zabbix zabbix_ser 957 5 tcp4 *:10051 *:*
zabbix zabbix_ser 956 5 tcp4 *:10051 *:*
zabbix zabbix_ser 955 5 tcp4 *:10051 *:*
zabbix zabbix_ser 954 5 tcp4 *:10051 *:*
zabbix zabbix_ser 953 5 tcp4 *:10051 *:*
zabbix zabbix_ser 952 5 tcp4 *:10051 *:*
zabbix zabbix_ser 951 5 tcp4 *:10051 *:*
zabbix zabbix_ser 950 5 tcp4 *:10051 *:*
zabbix zabbix_ser 949 5 tcp4 *:10051 *:*
zabbix zabbix_ser 948 5 tcp4 *:10051 *:*
zabbix zabbix_ser 947 5 tcp4 *:10051 *:*
zabbix zabbix_ser 922 5 tcp4 *:10051 *:*
mysql mysqld 914 3 tcp4 *:3306 *:*
root smbd 877 24 tcp4 *:445 *:*
root smbd 877 25 tcp4 *:139 *:*
root nmbd 871 9 udp4 *:137 *:*
root nmbd 871 10 udp4 *:138 *:*
root syslogd 640 7 udp4 *:514 *:*
понятно что это днс, но по почему он так часто туда ломится и почему на 59.182.x.x.53 ведь в /etc/resolv.conf у меня:
Последний раз редактировалось
f_andrey 2011-04-13 14:42:30, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения, и оформляйте его по человечески.
sergeyfromkomi
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2011-04-13 13:19:43
не занимайтесь ерундой
хотите знать как работает DNS, сходите почитайте гдето в гугле, ну или тот же RFC
Гость
-
sergeyfromkomi
- мл. сержант
- Сообщения: 137
- Зарегистрирован: 2009-12-22 11:43:28
Непрочитанное сообщение
sergeyfromkomi » 2011-04-13 14:03:46
Гость писал(а):не занимайтесь ерундой
хотите знать как работает DNS, сходите почитайте гдето в гугле, ну или тот же RFC
так в том то и дело что никаких запросов на dns не должно быть.... это сервер под zabbix мониторит только внутреннюю сеть...
я хочу найти процесс что генерит dns запросы.
sergeyfromkomi
-
baton4eg
- сержант
- Сообщения: 274
- Зарегистрирован: 2009-10-11 14:36:35
-
Контактная информация:
Непрочитанное сообщение
baton4eg » 2011-04-13 14:52:02
Вы опишите что у вас за сеть, сколько пользователей, может есть виртуальные сети, на какой интерфейс цепляли tcpdump, можно поиграться с флагами -vv
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!" (c)
"Я ем руками, она вилкой и ножом, я бью вилкой и ножом, она руками" (с)
baton4eg
-
sergeyfromkomi
- мл. сержант
- Сообщения: 137
- Зарегистрирован: 2009-12-22 11:43:28
Непрочитанное сообщение
sergeyfromkomi » 2011-04-13 15:08:19
baton4eg писал(а):Вы опишите что у вас за сеть, сколько пользователей, может есть виртуальные сети, на какой интерфейс цепляли tcpdump, можно поиграться с флагами -vv
две сетевые карты смотрят в два сегмента сети, виртуалок - нет. в tcpdump-е видно, что источник трафика именно этот сервер. может можно какнить увидеть что за процесс гинерит это пакет?
sergeyfromkomi
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2011-04-13 15:12:37
truss и\или ktrace должны помочь
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
Electronik
- капитан
- Сообщения: 1593
- Зарегистрирован: 2008-11-15 17:32:56
- Откуда: Минск
-
Контактная информация:
Непрочитанное сообщение
Electronik » 2011-04-13 17:12:53
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог
Electronik
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2011-04-13 18:15:22
а сокстат то причем?
еще раз повторяю
не занимайтесь ерундой
хотите знать как работает DNS, сходите почитайте гдето в гугле, ну или тот же RFC
Гость
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2011-04-13 21:00:56
sergeyfromkomi писал(а):Гость писал(а):не занимайтесь ерундой
хотите знать как работает DNS, сходите почитайте гдето в гугле, ну или тот же RFC
так в том то и дело что никаких запросов на dns не должно быть.... это сервер под zabbix мониторит только внутреннюю сеть...
я хочу найти процесс что генерит dns запросы.
zabbix и дает, зачем тебе гугловский DNS закомментируй его.
Да как удав! Работаю.
Gendos
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2011-04-13 21:22:21
Вобще он и не должен показывать - сокстат (в мане понятно к нему написано для чего он)
И запись неверная в резолв что за domain localhost
----------------------------------------------------------------------------------------------------------------------------------------------------------
И на всех трех форумах где ты запостил свой вопрос тебе уже сказали, что и как, работу за тебя делать никто не будет твою.
Да как удав! Работаю.
Gendos
-
sergeyfromkomi
- мл. сержант
- Сообщения: 137
- Зарегистрирован: 2009-12-22 11:43:28
Непрочитанное сообщение
sergeyfromkomi » 2011-04-13 21:28:46
Gendos писал(а):sergeyfromkomi писал(а):Гость писал(а):не занимайтесь ерундой
хотите знать как работает DNS, сходите почитайте гдето в гугле, ну или тот же RFC
так в том то и дело что никаких запросов на dns не должно быть.... это сервер под zabbix мониторит только внутреннюю сеть...
я хочу найти процесс что генерит dns запросы.
zabbix и дает, зачем тебе гугловский DNS закомментируй его.
мне не понятно почему мой хост (10.14.x.x.) ломится на какой-то левый днс .... откуда он его взял?? ведь у меня в /etc/resolv.conf указан только гугл днс.
13:18:08.843637 IP 10.14.x.x.28973 > 59.182.x.x.53: 17738+ A? xl0.localhost. (31)
13:18:08.845214 IP 59.182.x.x.53 > 10.14.x.x.28973: 17738 NXDomain* 0/1/0 (72)
вот я ищу что за процесс это делает....
Код: Выделить всё
#cat /etc/resolv.conf
domain localhost
nameserver 8.8.8.8
Последний раз редактировалось
sergeyfromkomi 2011-04-13 21:30:19, всего редактировалось 1 раз.
sergeyfromkomi
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2011-04-13 21:29:53
Тебе же сказали zabbix и ломится
59.182.x.x - твоя сеть? хоть посмотри куда он ломится
Да как удав! Работаю.
Gendos
-
sergeyfromkomi
- мл. сержант
- Сообщения: 137
- Зарегистрирован: 2009-12-22 11:43:28
Непрочитанное сообщение
sergeyfromkomi » 2011-04-13 21:34:23
Gendos писал(а):Тебе же сказали zabbix и ломится
59.182.x.x - твоя сеть? хоть посмотри куда он ломится
есть команда чтоб енто увидеть наглядно, а не просто дампом на порту. почему netstat не отображает этих запросов?
sergeyfromkomi
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2011-04-13 21:37:21
Тебе дядя инструмент постами выше дал
А должен ? показать?
Да как удав! Работаю.
Gendos
-
sergeyfromkomi
- мл. сержант
- Сообщения: 137
- Зарегистрирован: 2009-12-22 11:43:28
Непрочитанное сообщение
sergeyfromkomi » 2011-04-13 21:43:23
Gendos писал(а):Тебе дядя инструмент постами выше дал
А должен ? показать?
енто чтоль truss ktrace???
ладно пусть будет zabbix но почему он не обращается к тому что написано в resolve.conf ?
что самовольный игнор resolve.conf??
sergeyfromkomi
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2011-04-14 1:25:53
зачем так глубоко, признайтесь сами настраивали забикс?
отключите оповещение по почте.
В целом вот вам чтиво
http://www.ietf.org/rfc/rfc1035.txt
И будьте внимательны, что вам пишет tcpdump, NXDomain* что это такое?
Да как удав! Работаю.
Gendos
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2011-04-14 1:42:04
Да как удав! Работаю.
Gendos