[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Паразитный трафик в сети

Доброго времени суток!
Поставил тут на днях bind, настроил, вроде работает, но в сети стало
твориться что-то странное: примерно каждую секунду происходит обращение
по сети. tcpdump на стороне клиента выдает вот это:

22:18:29.604174 IP hip.lan.32924 > pluto.lan.domain:  56363+ A?
localhost.pluto.lan. (37)
22:18:29.604881 IP pluto.lan.domain > hip.lan.32924:  56363 NXDomain*
0/1/0 (76)
22:18:29.613853 IP hip.lan.32924 > pluto.lan.domain:  56364+ A?
localhost. (27)
22:18:29.614475 IP pluto.lan.domain > hip.lan.32924:  56364* 1/1/1 A
hip.lan (82)

все остальное см. dump

По-моему, такое поведение не нормально. Так же не могу понять кто на
стороне клиента инициирует сообщение( пробовал lsof -i, но никакое
приложение не использует порт 32924). Скажите, все нормально или я что-то 
делаю не так? В инете по данному вопросу ничего не нашел, может кто даст
ключевые слова для поиска или поможет разобраться?

Конфиги bind`а:

-------------named.conf.local--------------
zone "lan." {
        type master;
        file "/etc/bind/db.lan";
};

zone "52.168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/db.lan.rev";
};
-------------------------------------------
-------------named.conf.options------------
options {
        directory "/var/cache/bind";
        listen-on port 53 {
                192.168.52.1;
        };
        fetch-glue no;
        forwarders {
                212.45.25.70;
                212.45.2.5;
	};
        forward only;
};
-------------------------------------------
------------db.lan-------------------------
$TTL    604800
@               IN      SOA     pluto.lan. ns.lan. (
                                1
                                604800
                                86400
                                2419200
                                604800 )
;
                IN      NS      pluto.lan.

localhost       IN      A       127.0.0.1
pluto           IN      A       192.168.52.1
ns              IN      CNAME   pluto

hip             IN      A       192.168.52.2
kost            IN      A       192.168.52.3
--------------------------------------------
--------------db.lan.rev--------------------
$TTL    604800
               IN      SOA     pluto.lan. ns.lan. (
                                2004110301
                                604800
                                86400
                                2419200
                                604800 )
;
                IN      NS      pluto.lan.

0               IN      PTR     pluto.lan.
                        A       255.255.255.0

1               IN      PTR     pluto.lan.
2               IN      PTR     hip.lan.
3               IN      PTR     kost.lan.
--------------------------------------------


ps. Извините за длинный пост.
-- 
Спасибо и всего наилучшего!

-------------------------------
Архипов Павел
ICQ UIN: 200-031-329
E-mail: poul-hip_(at)_yandex.ru

root:[/home/hip]# tcpdump 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:18:29.604174 IP hip.lan.32924 > pluto.lan.domain:  56363+ A? localhost.pluto.lan. (37)
22:18:29.604881 IP pluto.lan.domain > hip.lan.32924:  56363 NXDomain* 0/1/0 (76)
22:18:29.613853 IP hip.lan.32924 > pluto.lan.domain:  56364+ A? localhost. (27)
22:18:29.614475 IP pluto.lan.domain > hip.lan.32924:  56364* 1/1/1 A hip.lan (82)
22:18:29.616865 IP hip.lan.32924 > pluto.lan.domain:  35210+ PTR? 1.52.168.192.in-addr.arpa. (43)
22:18:29.617533 IP pluto.lan.domain > hip.lan.32924:  35210* 1/1/1 (96)
22:18:29.617926 IP hip.lan.32924 > pluto.lan.domain:  35211+ PTR? 2.52.168.192.in-addr.arpa. (43)
22:18:29.618577 IP pluto.lan.domain > hip.lan.32924:  35211* 1/1/1 (100)
22:18:29.624391 IP hip.lan.32924 > pluto.lan.domain:  37223+ A? localhost.pluto.lan. (37)
22:18:29.624882 IP pluto.lan.domain > hip.lan.32924:  37223 NXDomain* 0/1/0 (76)
22:18:29.635805 IP hip.lan.32924 > pluto.lan.domain:  37224+ A? localhost. (27)
22:18:29.636415 IP pluto.lan.domain > hip.lan.32924:  37224* 1/1/1 A hip.lan (82)
22:18:30.602380 arp who-has pluto.lan tell hip.lan
22:18:30.602556 arp reply pluto.lan is-at 00:e0:4d:02:43:7d
22:18:31.604168 IP hip.lan.32924 > pluto.lan.domain:  56510+ A? localhost.pluto.lan. (37)
22:18:31.604956 IP pluto.lan.domain > hip.lan.32924:  56510 NXDomain* 0/1/0 (76)
22:18:31.610428 IP hip.lan.32924 > pluto.lan.domain:  56511+ A? localhost. (27)
22:18:31.611059 IP pluto.lan.domain > hip.lan.32924:  56511* 1/1/1 A hip.lan (82)
22:18:31.622707 IP hip.lan.32924 > pluto.lan.domain:  38342+ A? localhost.pluto.lan. (37)
22:18:31.623203 IP pluto.lan.domain > hip.lan.32924:  38342 NXDomain* 0/1/0 (76)
22:18:31.626611 IP hip.lan.32924 > pluto.lan.domain:  38343+ A? localhost. (27)
22:18:31.627213 IP pluto.lan.domain > hip.lan.32924:  38343* 1/1/1 A hip.lan (82)
22:18:33.607124 IP hip.lan.32924 > pluto.lan.domain:  54160+ A? localhost.pluto.lan. (37)
22:18:33.607910 IP pluto.lan.domain > hip.lan.32924:  54160 NXDomain* 0/1/0 (76)
22:18:33.613104 IP hip.lan.32924 > pluto.lan.domain:  54161+ A? localhost. (27)
22:18:33.613733 IP pluto.lan.domain > hip.lan.32924:  54161* 1/1/1 A hip.lan (82)
22:18:33.626499 IP hip.lan.32924 > pluto.lan.domain:  25629+ A? localhost.pluto.lan. (37)
22:18:33.626991 IP pluto.lan.domain > hip.lan.32924:  25629 NXDomain* 0/1/0 (76)
22:18:33.634116 IP hip.lan.32924 > pluto.lan.domain:  25630+ A? localhost. (27)
22:18:33.634715 IP pluto.lan.domain > hip.lan.32924:  25630* 1/1/1 A hip.lan (82)

30 packets captured
30 packets received by filter
0 packets dropped by kernel
Reply to: