Как найти источник такого трафика в системе ?

sergeyfromkomi

Как найти источник такого трафика в системе :

13:18:08.843637 IP 10.14.x.x.28973 > 59.182.x.x.53: 17738+ A? xl0.localhost. (31)
13:18:08.845214 IP 59.182.x.x.53 > 10.14.x.x.28973: 17738 NXDomain* 0/1/0 (72)
13:18:08.845307 IP 10.14.x.x.10368 > 59.182.x.x.53: 17739+ AAAA? xl0.localhost. (31)
13:18:08.846883 IP 59.182.x.x.53 > 10.14.x.x.10368: 17739 NXDomain* 0/1/0 (72)

хотя socstat не показывает этого...

Код: Выделить всё

 sockstat -4
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
zabbix   perl5.10.1 49445 5  tcp4   *:10051               *:*
zabbix   perl5.10.1 49445 7  tcp4   172.2.250.240:56192  172.2.250.250:23
zabbix   fping      49444 5  tcp4   *:10051               *:*
cacti    php        49403 5  udp4   *:27907               *:*
root     sshd       49013 3  tcp4   172.2.250.240:22     10.14.x.x:2850
root     smbd       36447 28 tcp4   172.2.250.240:445    10.14.6.190:49157
root     snmptrapd  63586 10 udp4   *:162                 *:*
root     smbd       67030 28 tcp4   10.14.6.179:445       10.14.6.161:2244
www      httpd      1145  16 tcp4   *:80                  *:*
www      httpd      1140  3  tcp4   172.2.250.240:80     10.14.6.163:4534
www      httpd      1140  16 tcp4   *:80                  *:*
www      httpd      1136  3  tcp4   172.2.250.240:80     10.14.x.x:2887
www      httpd      1136  16 tcp4   *:80                  *:*
www      httpd      1112  16 tcp4   *:80                  *:*
www      httpd      1108  16 tcp4   *:80                  *:*
root     inetd      1038  5  udp4   *:69                  *:*
root     sendmail   999   3  tcp4   127.0.0.1:25          *:*
www      httpd      998   16 tcp4   *:80                  *:*
www      httpd      997   3  tcp4   172.2.250.240:80     10.14.6.163:4533
www      httpd      997   16 tcp4   *:80                  *:*
www      httpd      996   16 tcp4   *:80                  *:*
www      httpd      995   3  tcp4   172.2.250.240:80     10.14.x.x:2886
www      httpd      995   16 tcp4   *:80                  *:*
www      httpd      994   16 tcp4   *:80                  *:*
root     sshd       987   4  tcp4   *:22                  *:*
root     httpd      968   16 tcp4   *:80                  *:*
zabbix   zabbix_ser 966   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 965   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 964   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 963   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 962   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 961   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 960   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 959   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 958   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 957   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 956   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 955   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 954   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 953   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 952   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 951   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 950   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 949   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 948   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 947   5  tcp4   *:10051               *:*
zabbix   zabbix_ser 922   5  tcp4   *:10051               *:*
mysql    mysqld     914   3  tcp4   *:3306                *:*
root     smbd       877   24 tcp4   *:445                 *:*
root     smbd       877   25 tcp4   *:139                 *:*
root     nmbd       871   9  udp4   *:137                 *:*
root     nmbd       871   10 udp4   *:138                 *:*
root     syslogd    640   7  udp4   *:514                 *:*

понятно что это днс, но по почему он так часто туда ломится и почему на 59.182.x.x.53 ведь в /etc/resolv.conf у меня:

Код: Выделить всё

domain  localhost
nameserver 8.8.8.8

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость

не занимайтесь ерундой
хотите знать как работает DNS, сходите почитайте гдето в гугле, ну или тот же RFC

sergeyfromkomi

Гость писал(а):не занимайтесь ерундой
хотите знать как работает DNS, сходите почитайте гдето в гугле, ну или тот же RFC

так в том то и дело что никаких запросов на dns не должно быть.... это сервер под zabbix мониторит только внутреннюю сеть...
я хочу найти процесс что генерит dns запросы.

baton4eg

Вы опишите что у вас за сеть, сколько пользователей, может есть виртуальные сети, на какой интерфейс цепляли tcpdump, можно поиграться с флагами -vv

sergeyfromkomi

baton4eg писал(а):Вы опишите что у вас за сеть, сколько пользователей, может есть виртуальные сети, на какой интерфейс цепляли tcpdump, можно поиграться с флагами -vv

две сетевые карты смотрят в два сегмента сети, виртуалок - нет. в tcpdump-е видно, что источник трафика именно этот сервер. может можно какнить увидеть что за процесс гинерит это пакет?

hizel · Непрочитанное сообщение **hizel** » 2011-04-13 15:12:37

truss и\или ktrace должны помочь

sergeyfromkomi

меня смущает что sockstat не отображает этого трафика....

Electronik

Код: Выделить всё

netstat | grep tcp
netstat | grep udp

Гость

а сокстат то причем?
еще раз повторяю

не занимайтесь ерундой
хотите знать как работает DNS, сходите почитайте гдето в гугле, ну или тот же RFC

Gendos · Непрочитанное сообщение **Gendos** » 2011-04-13 21:00:56

sergeyfromkomi писал(а):
Гость писал(а):не занимайтесь ерундой
хотите знать как работает DNS, сходите почитайте гдето в гугле, ну или тот же RFC
так в том то и дело что никаких запросов на dns не должно быть.... это сервер под zabbix мониторит только внутреннюю сеть...
я хочу найти процесс что генерит dns запросы.

zabbix и дает, зачем тебе гугловский DNS закомментируй его.

Gendos · Непрочитанное сообщение **Gendos** » 2011-04-13 21:22:21

Вобще он и не должен показывать - сокстат (в мане понятно к нему написано для чего он)
И запись неверная в резолв что за domain localhost
----------------------------------------------------------------------------------------------------------------------------------------------------------
И на всех трех форумах где ты запостил свой вопрос тебе уже сказали, что и как, работу за тебя делать никто не будет твою.

sergeyfromkomi

Gendos писал(а):
sergeyfromkomi писал(а):
Гость писал(а):не занимайтесь ерундой
хотите знать как работает DNS, сходите почитайте гдето в гугле, ну или тот же RFC
так в том то и дело что никаких запросов на dns не должно быть.... это сервер под zabbix мониторит только внутреннюю сеть...
я хочу найти процесс что генерит dns запросы.
zabbix и дает, зачем тебе гугловский DNS закомментируй его.

мне не понятно почему мой хост (10.14.x.x.) ломится на какой-то левый днс .... откуда он его взял?? ведь у меня в /etc/resolv.conf указан только гугл днс.

13:18:08.843637 IP 10.14.x.x.28973 > 59.182.x.x.53: 17738+ A? xl0.localhost. (31)
13:18:08.845214 IP 59.182.x.x.53 > 10.14.x.x.28973: 17738 NXDomain* 0/1/0 (72)
вот я ищу что за процесс это делает....

Код: Выделить всё

#cat  /etc/resolv.conf 
domain  localhost
nameserver 8.8.8.8

Gendos · Непрочитанное сообщение **Gendos** » 2011-04-13 21:29:53

Тебе же сказали zabbix и ломится
59.182.x.x - твоя сеть? хоть посмотри куда он ломится

sergeyfromkomi

Gendos писал(а):Тебе же сказали zabbix и ломится
59.182.x.x - твоя сеть? хоть посмотри куда он ломится

есть команда чтоб енто увидеть наглядно, а не просто дампом на порту. почему netstat не отображает этих запросов?

Gendos · Непрочитанное сообщение **Gendos** » 2011-04-13 21:37:21

Тебе дядя инструмент постами выше дал
А должен ? показать?

sergeyfromkomi

Gendos писал(а):Тебе дядя инструмент постами выше дал
А должен ? показать?

енто чтоль truss ktrace???
ладно пусть будет zabbix но почему он не обращается к тому что написано в resolve.conf ?
что самовольный игнор resolve.conf??

Gendos · Непрочитанное сообщение **Gendos** » 2011-04-14 1:25:53

зачем так глубоко, признайтесь сами настраивали забикс?
отключите оповещение по почте.
В целом вот вам чтиво http://www.ietf.org/rfc/rfc1035.txt
И будьте внимательны, что вам пишет tcpdump, NXDomain* что это такое?

Gendos · Непрочитанное сообщение **Gendos** » 2011-04-14 1:42:04

http://www.ietf.org/rfc/rfc2308.txt более подробно

forum.lissyara.su

Как найти источник такого трафика в системе ?

Как найти источник такого трафика в системе ?

Услуги хостинговой компании Host-Food.ru

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?

Re: Как найти источник такого трафика в системе ?