Freesco, NND, CDN, EOS :: Wyświetl temat - Dużo połączeń DNS (port 53) ?

: [/] [] ()

    63  udp   192.168.1.104:2102             212.51.192.5:53                ASSURED
    64  udp   192.168.1.104:2137             212.51.192.5:53                ASSURED
    65  udp   192.168.1.104:2063             194.204.159.1:53               ASSURED
    66  udp   192.168.1.104:2068             212.51.192.5:53                ASSURED
    67  udp   192.168.1.104:2075             212.51.192.5:53                
.
.
.
.
.
.
.

   116  udp   192.168.1.104:2080             212.191.132.126:53             ASSURED
   117  udp   192.168.1.104:2062             194.204.159.1:53               ASSURED
   118  udp   192.168.1.104:2181             212.51.192.5:53                ASSURED
   119  udp   192.168.1.104:2092             212.51.192.5:53                ASSURED
   120  udp   192.168.1.104:2065             212.191.132.126:53             ASSURED
   121  udp   192.168.1.104:2166             212.191.132.126:53             ASSURED

GeSHi © Codebox Plus

: [/] [] ()

#!/bin/bash
#limity
echo "600" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "30" > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
echo "10" > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout
echo "5" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo "600" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
echo "30" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack
echo "60" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo "120" > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

: [/] [] ()

nameserver 194.204.152.34
nameserver 194.204.159.1
nameserver 212.191.132.126
nameserver 212.51.192.2
nameserver 212.51.192.5
search tpnet.pl
domain tpnet.pl
search man.lodz.pl
domain man.lodz.pl

Autor:	adamol [ środa, 16 listopada 2005, 14:07 ]
Tytuł:	Dużo połączeń DNS (port 53) ?
Hallo Mam tak tylko u jednego użyszkodnika, no dobra u dwóch : : [/] [] () 63 udp 192.168.1.104:2102 212.51.192.5:53 ASSURED 64 udp 192.168.1.104:2137 212.51.192.5:53 ASSURED 65 udp 192.168.1.104:2063 194.204.159.1:53 ASSURED 66 udp 192.168.1.104:2068 212.51.192.5:53 ASSURED 67 udp 192.168.1.104:2075 212.51.192.5:53 . . . . . . . 116 udp 192.168.1.104:2080 212.191.132.126:53 ASSURED 117 udp 192.168.1.104:2062 194.204.159.1:53 ASSURED 118 udp 192.168.1.104:2181 212.51.192.5:53 ASSURED 119 udp 192.168.1.104:2092 212.51.192.5:53 ASSURED 120 udp 192.168.1.104:2065 212.191.132.126:53 ASSURED 121 udp 192.168.1.104:2166 212.191.132.126:53 ASSURED GeSHi © Codebox Plus Nie za dużo trochę Co może byc przyczyną Pozdro Adam

Autor:	dexu [ środa, 16 listopada 2005, 18:03 ]
Tytuł:
Torrent ?

Autor:	adamol [ środa, 16 listopada 2005, 18:51 ]
Tytuł:
Te adresy to DNSy z min. tpsy. Ciekawi mnie dlaczego u jednego, dwóch użytkowników połączenia z DNSami występują w takiej ilości a u innych nie. To co wstawiłem było wynikiem polecenia netstat-nat. Pozdro

Autor:	Jacq [ czwartek, 17 listopada 2005, 01:05 ]
Tytuł:
Coś czytałem o wirusie który tak działa. Prosze mnie poprawić jeśli sie myle.

Autor:	adamol [ czwartek, 17 listopada 2005, 07:17 ]
Tytuł:
Pogooglowałem, ale nic nie pasuje do takiego czegoś. Na http://www.searchengines.pl znalazłem takie coś, wydaje się logiczne ale nie tłumaczy to czemu dzieje się to tylko u niektórych. Oczywiście wykluczając sassera Cytuj: niektóre pytania o DNS gubią się po drodze, serwer nie może odp. itd.itp. Firewall nie może czekać w nieskończoność na odpowiedź więc te pytania o DNS całkowicie ignoruje ..... i tu dochodzimy do sedna. Jeśli serwer DNS pracuje na wyjątkowo grubych obrotach lub jest źle skonfigurowany może zareagować na pytanie z mocnym opóźnieniem już po fakcie gdy firewall olał pytanie i wymazał je ze swojej pamięci. I jeśli serwer jednak po dużym opóźnieniu odpowie firewall nie umie połączyć pytania które skasował z odpowiedzią która nadeszła i odpowiedź klasyfikuje jako nieznają i "skanująco-atakującą"! That's all........... Inna możliwość to atak robaka sieciowego typu Blaster/Sasser, który pragnie przerżnąć twoją zaporę.............. Jeszcze jedno, wczoraj instalowałem system na nowo na jednym z tych kompów więc zobaczymy co dalej się będzie działo. Można na podstawie tego typu i ilości połaczen podejrzewać jakiegoś robaka A może po prostu przesadziłem z time'ami w skrypcie : : [/] [] () #!/bin/bash #limity echo "600" > /proc/sys/net/ipv4/tcp_keepalive_time echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout echo "30" > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout echo "10" > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout echo "5" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait echo "600" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait echo "30" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack echo "60" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout echo "120" > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream GeSHi © Codebox Plus Dzisiaj znowu to samo, tzn. u tego 2 usera, tam gdzie windowsa robiłem jest narazie ok Pozdro

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Dużo połączeń DNS (port 53) ? http://forum.freesco.pl/viewtopic.php?f=22&t=9914	Strona 1 z 1

Autor:	adamol [ poniedziałek, 21 listopada 2005, 08:06 ]
Tytuł:
Po przeskanowaniu mksem chyba się uspokoiło. Nie byłem przy tym ale user powiedział mi, że coś tam znalazło i chyba było to Worm NetSky Pozdro Adam

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/