Вопросы Теги

Чрезмерный исходящий трафик DNS

Это зависит от того, где это было установлено. Если можно получить доступ к нему через сеть, можно узнать путем рассмотрения apache/favorite_httpd файлов конфигурации.

5
задан 18 July 2013 в 19:32
3 ответа

не ответ, просто несколько случайных мыслей:

  • вы можете видеть этот трафик, когда вы просто запускаете tcpdump на своем [виртуальном] сетевом интерфейсе? если да, то можете ли вы попытаться выяснить, есть ли дневной / почасовой график? вы можете создать правило iptables для подсчета трафика, а затем разрешить плагину munin собирать статистику.
  • вы можете попытаться определить, какое приложение генерирует этот трафик? я вижу здесь два метода:
    • жестокий метод - дождаться появления трафика и начать убивать приложения одно за другим.
    • мягкий подход - используйте iptables в цепочке OUTPUT и сопоставьте владельца с , чтобы записать выходные пакеты, идущие на порт 53 в системный журнал. что-то вроде: iptables -I OUTPUT -p udp --dport 53 --match owner --uid-owner 33 -j LOG --log-prefix "uid 33" применяется ко всем вашим используемым uid. проверьте системный журнал, чтобы узнать, какой процесс генерирует нежелательный трафик.
  • у вас работает локальный DNS-сервер [например, привязка]? если так:
    • также анализирует петлю, чтобы узнать, какое приложение может отправлять запросы, вызывающие нежелательный трафик.
    • могут ли внешние серверы разговаривать с вашим DNS-сервером? если да - возможно, это какая-то атака с обратным рассеянием, когда ваш сервер получает пакеты с поддельных адресов и отвечает, бомбардируя жертву.
  • Вы на 110% уверены, что ваш php-код не был изменен? Может быть, некоторые из ваших скриптов содержат несколько вредоносных строк?
3
ответ дан 3 December 2019 в 01:40

Я (пока) не знаю, что это за трафик, но могу подтвердить, что это не совместимый DNS-трафик.

12-байтовый заголовок содержит:

  • 2-байтовое поле идентификатора (28720 - 0x7030)
  • 2-байтовое поле флагов (0x4134)
  • 4 * 2-байтовые счетчики записей [17267a] [30550q] [28773n] [14673au]

Флаги обычного рекурсивного запроса должны быть равными 0x0100. Четыре отсчета должны быть (1, 0, 0, 0 +).

2
ответ дан 3 December 2019 в 01:40

Попробуйте запустить tcpdump в подробном режиме (-v), чтобы увидеть текущие запросы и ответы DNS. Это может быть какой-то IP-туннель через DNS. Как и предложил pQd, было бы хорошо знать, какое программное обеспечение генерирует трафик.

0
ответ дан 3 December 2019 в 01:40

Теги

Похожие вопросы