handler Опубликовано 22 марта, 2010 Жалоба Опубликовано 22 марта, 2010 Здравствуйте! имеется сеть (192.168.0.0/24) со шлюзом (192.168.0.1/24) на базе SuSE11.2, которая, в свою очередь, получает доступ в интернет ч\з сквид (192.168.51.1/24). На шлюзе 192.168.0.1 стоит фаерволл (iptables), днс, и пр. для работы сети. Проблема: С внутренней сети 192.168.0.0/24 идет вирус-рассылка днс-запросов ч/з роутер 192.168.0.1 на сквид сервер 192.168.51.1 Задача: определить, с какого адреса были отосланы запросы 19-Feb-2010 14:46:46 http://www.cd4b4b03.com/97924996.htm 19-Feb-2010 14:46:46 http://www.c9423e05.com/D091130C.htm 19-Feb-2010 14:46:46 http://www.90500a02.com/D76009A2.htm 19-Feb-2010 14:46:46 http://www.76b8ee50.com/B0C664A2.htm 19-Feb-2010 14:46:47 http://www.1daf1940.com/93EF38E4.htm 19-Feb-2010 14:46:47 http://www.c92e4e0c.com/37478613.htm 19-Feb-2010 14:46:47 http://www.55fbd9c8.com/85CB152B.htm 19-Feb-2010 14:46:47 http://www.75916910.com/773351E3.htm Возможно, днс-сервер ведет логи обращений к себе, тогда мы сможем выяснить, кто генерирует эти запросы Цитата
Ineu Опубликовано 22 марта, 2010 Жалоба Опубликовано 22 марта, 2010 Алексей писал(а) Mon, 22 March 2010 14:59 Возможно, днс-сервер ведет логи обращений к себе, тогда мы сможем выяснить, кто генерирует эти запросы http://www.google.com/search?aq=f&sourceid=chrome&ie =UTF-8&q=bind9+log+queries Цитата
gogi Опубликовано 22 марта, 2010 Жалоба Опубликовано 22 марта, 2010 Алексей писал(а) Mon, 22 March 2010 15:59 Здравствуйте! имеется сеть (192.168.0.0/24) со шлюзом (192.168.0.1/24) на базе SuSE11.2, которая, в свою очередь, получает доступ в интернет ч\з сквид (192.168.51.1/24). На шлюзе 192.168.0.1 стоит фаерволл (iptables), днс, и пр. для работы сети. Проблема: С внутренней сети 192.168.0.0/24 идет вирус-рассылка днс-запросов ч/з роутер 192.168.0.1 на сквид сервер 192.168.51.1 Каким образом dns запросы могут попасть на скуид? Вы приводите запросы http. Цитата: Задача: определить, с какого адреса были отосланы запросы Разве скуид не записывает адрес источника? Или у Вас на шлюзе стоит nat? Цитата
handler Опубликовано 23 марта, 2010 Автор Жалоба Опубликовано 23 марта, 2010 Конечно же стоит нат - это же подсеть. А логи приведены сквида, который дает выход в мир моему роутеру Цитата
gogi Опубликовано 23 марта, 2010 Жалоба Опубликовано 23 марта, 2010 Алексей писал(а) Tue, 23 March 2010 09:10 Конечно же стоит нат - это же подсеть. Почему, "конечно же". Нат не разделяет подсети, а дает возможность использовать один адрес группе компов (нужно при недостатке адресов). Адреса у вас серые, следовательно необходимости в нате нет. Цитата: А логи приведены сквида, который дает выход в мир моему роутеру Если нат неизбежен, а логи бинда ни о чем не говорят (напр. прокси не прозрачный), то дампируйте сеть. Цитата
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.