Jump to content
Sign in to follow this  
handler

Логи днс-запросовё

Recommended Posts

Здравствуйте!

имеется сеть (192.168.0.0/24) со шлюзом (192.168.0.1/24) на базе SuSE11.2, которая, в свою очередь, получает доступ в интернет ч\з сквид (192.168.51.1/24).

На шлюзе 192.168.0.1 стоит фаерволл (iptables), днс, и пр. для работы сети.

Проблема:

С внутренней сети 192.168.0.0/24 идет вирус-рассылка днс-запросов ч/з роутер 192.168.0.1 на сквид сервер 192.168.51.1

Задача: определить, с какого адреса были отосланы запросы

19-Feb-2010 14:46:46 http://www.cd4b4b03.com/97924996.htm

19-Feb-2010 14:46:46 http://www.c9423e05.com/D091130C.htm

19-Feb-2010 14:46:46 http://www.90500a02.com/D76009A2.htm

19-Feb-2010 14:46:46 http://www.76b8ee50.com/B0C664A2.htm

19-Feb-2010 14:46:47 http://www.1daf1940.com/93EF38E4.htm

19-Feb-2010 14:46:47 http://www.c92e4e0c.com/37478613.htm

19-Feb-2010 14:46:47 http://www.55fbd9c8.com/85CB152B.htm

19-Feb-2010 14:46:47 http://www.75916910.com/773351E3.htm

Возможно, днс-сервер ведет логи обращений к себе, тогда мы сможем выяснить, кто генерирует эти запросы

Share this post


Link to post
Share on other sites

Алексей писал(а) Mon, 22 March 2010 15:59

Здравствуйте!

имеется сеть (192.168.0.0/24) со шлюзом (192.168.0.1/24) на базе SuSE11.2, которая, в свою очередь, получает доступ в интернет ч\з сквид (192.168.51.1/24).

На шлюзе 192.168.0.1 стоит фаерволл (iptables), днс, и пр. для работы сети.

Проблема:

С внутренней сети 192.168.0.0/24 идет вирус-рассылка днс-запросов ч/з роутер 192.168.0.1 на сквид сервер 192.168.51.1

Каким образом dns запросы могут попасть на скуид?

Вы приводите запросы http.

Цитата:

Задача: определить, с какого адреса были отосланы запросы

Разве скуид не записывает адрес источника? Или у Вас на шлюзе стоит nat?

Share this post


Link to post
Share on other sites

Конечно же стоит нат - это же подсеть.

А логи приведены сквида, который дает выход в мир моему роутеру

Share this post


Link to post
Share on other sites

Алексей писал(а) Tue, 23 March 2010 09:10

Конечно же стоит нат - это же подсеть.

Почему, "конечно же". Нат не разделяет подсети, а дает возможность использовать один адрес группе компов (нужно при недостатке адресов). Адреса у вас серые, следовательно необходимости в нате нет.

Цитата:

А логи приведены сквида, который дает выход в мир моему роутеру

Если нат неизбежен, а логи бинда ни о чем не говорят (напр. прокси не прозрачный), то дампируйте сеть.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...