Задать вопрос
juffinhalli
@juffinhalli

Подозрительная активность шлюза Ubuntu — куда копать

Доброй ночи, хабражители!

Дано:
Домашний х86 роутер под управлением Ubuntu 12,04 LTS
На шлюзе стоит кеширующий dns-сервер dnsmasq
Все запросы dns, включая сам сервер идут через dnsmasq
Каждый запрос логгируется.
Установленные i2p-router, collectd, transmission отключены в их настройках и, после перезагрузки, в активных процессах (htop) не замечены
Проблема:
DNS сервер заметно загружен запросами от неизвестного приложения на самом сервере (Кабель локальной сети физически отключён.). Фрагмент лога
Вопрос:
Как найти локальный процесс, который постоянно «бомбит» dns сервер запросами.

Заранее большое спасибо.

Update: методом исключения удалось выяснить что запросы шли от Iptraf, он пытался узнать читаемые имена всех пытавшихся подключиться к серверу по UDP
  • Вопрос задан
  • 3829 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
shadowalone
@shadowalone
Судя по тому, что видно из лога — основная часть запросов PTR — возможно какой-то ваш сервмс пытается ресолвить адреса, с которых к нему обращаються в имена обратной зоны.

например попытки зайти по ssh, доставка почты и т.д. и т.п.
отключите сервисы по одному, будет понятно — но это крайний случай.
посмотрите netstat — какие соединения есть.
Ответ написан
@joneleth
Пара десятков запросов за 5 минут — «бомбит»? Я бы просто забыл на вашем месте.
seclists.org/tcpdump/2010/q4/2
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы