Re: bind

To: debian-russian@lists.debian.org
Subject: Re: bind
From: Artem Chuprina <ran@ran.pp.ru>
Date: Thu, 04 Aug 2005 22:23:50 +0400
Message-id: <[🔎] 53574169@tigger.lan.cryptocom.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 42F251CF.4030904@tinuviel.ru> (sergio@tinuviel.ru's message of "Thu, 04 Aug 2005 21:35:11 +0400")
References: <[🔎] 42F21395.5040504@tinuviel.ru> <[🔎] 85734750@tigger.lan.cryptocom.ru> <[🔎] 42F2359F.5080607@tinuviel.ru> <[🔎] 19657329@tigger.lan.cryptocom.ru> <[🔎] 42F251CF.4030904@tinuviel.ru>

Sergio -> debian-russian@lists.debian.org  @ Thu, 04 Aug 2005 21:35:11 +0400:

 >>  >>  S> Глянул на bindграф -- увидел, что с 13:09 по 13:27 кто-то много чего
 >>  >>  S> спрашивал у бинда. (A and PTR queries) посмотрел по логам -- все эти
 >>  >>  S> запросы было с 127.0.0.1 более того, никого из людей на машине в это
 >>  >>  S> время не было...
 >>  >> 
 >>  >>  S> были следуюший запросы:
 >>  >> 
 >>  >>  S> 36.33.47.64.in-addr.arpa IN PTR
 >>  >>  S> ftp.webspace4me.net IN A
 >>  >>  S> venus.netrelated.com IN A
 >>  >>  S> webspace4me.net IN A
 >>  >>  S> www.webspace4me.net IN A
 >>  >> 
 >>  >>  S> у кого-нить есть предположения, как понять, что это было?
 >>  >> 
 >>  >> Это к тебе кто-то с этого адреса заходил, и соответствующий сервис его
 >>  >> резолвил.  Сначала обратный запрос, а потом прямой на полученные имена.
 >>  >> 
 >> 
 >>  S> в логе вот такие строчки встречаются...
 >>  S> Aug 04 13:25:27.026 client 127.0.0.1#32840: query: ftp.webspace4me.net IN A
 >>  S> Aug 04 13:25:28.418 client 127.0.0.1#32840: query:
 >>  S> 36.33.47.64.in-addr.arpa IN P
 >>  S> TR
 >>  S> Aug 04 13:25:28.418 client 127.0.0.1#32840: query: venus.netrelated.com IN A
 >>  S> Aug 04 13:25:29.952 client 127.0.0.1#32840: query:
 >>  S> 36.33.47.64.in-addr.arpa IN P
 >>  S> TR
 >>  S> Aug 04 13:25:29.953 client 127.0.0.1#32840: query: ftp.webspace4me.net IN A
 >>  S> Aug 04 13:25:32.504 client 127.0.0.1#32840: query:
 >>  S> 36.33.47.64.in-addr.arpa IN P
 >>  S> TR
 >> 
 >> 
 >>  S> я всё же думаю, что client 127.0.0.1 -- это тот, кто спрашивал...
 >> 
 >> Клиентом бинда уже является твой сервис.  Естественно, он спрашивает с
 >> локалхоста.
 >> 

 S> Вопрос в том, какой сервис? Кто это делает?

Посмотри по логам сервисов (syslog, maillog и daemon.log
преимущественно) за это время.  Те, кто работает через tcpwrappers или
самостоятельно занимается двойным резолвингом, обычно и в логи пишут,
откуда приходили.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Если ничто уже не помогает, прочтите же, наконец, инструкцию!

Reply to:

References:
- bind
  - From: Sergio <sergio@tinuviel.ru>
- Re: bind
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: bind
  - From: Sergio <sergio@tinuviel.ru>
- Re: bind
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: bind
  - From: Sergio <sergio@tinuviel.ru>

Prev by Date: ooo + факс
Next by Date: mutt + folder-hook
Previous by thread: Re: bind
Next by thread: Re: bind
Index(es):
- Date
- Thread