handler Опубликовано 22 марта, 2010 Жалоба Поделиться Опубликовано 22 марта, 2010 Здравствуйте! имеется сеть (192.168.0.0/24) со шлюзом (192.168.0.1/24) на базе SuSE11.2, которая, в свою очередь, получает доступ в интернет ч\з сквид (192.168.51.1/24). На шлюзе 192.168.0.1 стоит фаерволл (iptables), днс, и пр. для работы сети. Проблема: С внутренней сети 192.168.0.0/24 идет вирус-рассылка днс-запросов ч/з роутер 192.168.0.1 на сквид сервер 192.168.51.1 Задача: определить, с какого адреса были отосланы запросы 19-Feb-2010 14:46:46 http://www.cd4b4b03.com/97924996.htm 19-Feb-2010 14:46:46 http://www.c9423e05.com/D091130C.htm 19-Feb-2010 14:46:46 http://www.90500a02.com/D76009A2.htm 19-Feb-2010 14:46:46 http://www.76b8ee50.com/B0C664A2.htm 19-Feb-2010 14:46:47 http://www.1daf1940.com/93EF38E4.htm 19-Feb-2010 14:46:47 http://www.c92e4e0c.com/37478613.htm 19-Feb-2010 14:46:47 http://www.55fbd9c8.com/85CB152B.htm 19-Feb-2010 14:46:47 http://www.75916910.com/773351E3.htm Возможно, днс-сервер ведет логи обращений к себе, тогда мы сможем выяснить, кто генерирует эти запросы Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Ineu Опубликовано 22 марта, 2010 Жалоба Поделиться Опубликовано 22 марта, 2010 Алексей писал(а) Mon, 22 March 2010 14:59 Возможно, днс-сервер ведет логи обращений к себе, тогда мы сможем выяснить, кто генерирует эти запросы http://www.google.com/search?aq=f&sourceid=chrome&ie =UTF-8&q=bind9+log+queries Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
gogi Опубликовано 22 марта, 2010 Жалоба Поделиться Опубликовано 22 марта, 2010 Алексей писал(а) Mon, 22 March 2010 15:59 Здравствуйте! имеется сеть (192.168.0.0/24) со шлюзом (192.168.0.1/24) на базе SuSE11.2, которая, в свою очередь, получает доступ в интернет ч\з сквид (192.168.51.1/24). На шлюзе 192.168.0.1 стоит фаерволл (iptables), днс, и пр. для работы сети. Проблема: С внутренней сети 192.168.0.0/24 идет вирус-рассылка днс-запросов ч/з роутер 192.168.0.1 на сквид сервер 192.168.51.1 Каким образом dns запросы могут попасть на скуид? Вы приводите запросы http. Цитата: Задача: определить, с какого адреса были отосланы запросы Разве скуид не записывает адрес источника? Или у Вас на шлюзе стоит nat? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
handler Опубликовано 23 марта, 2010 Автор Жалоба Поделиться Опубликовано 23 марта, 2010 Конечно же стоит нат - это же подсеть. А логи приведены сквида, который дает выход в мир моему роутеру Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
gogi Опубликовано 23 марта, 2010 Жалоба Поделиться Опубликовано 23 марта, 2010 Алексей писал(а) Tue, 23 March 2010 09:10 Конечно же стоит нат - это же подсеть. Почему, "конечно же". Нат не разделяет подсети, а дает возможность использовать один адрес группе компов (нужно при недостатке адресов). Адреса у вас серые, следовательно необходимости в нате нет. Цитата: А логи приведены сквида, который дает выход в мир моему роутеру Если нат неизбежен, а логи бинда ни о чем не говорят (напр. прокси не прозрачный), то дампируйте сеть. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.