Перейти к содержанию

Логи днс-запросовё


Рекомендуемые сообщения

Здравствуйте!

имеется сеть (192.168.0.0/24) со шлюзом (192.168.0.1/24) на базе SuSE11.2, которая, в свою очередь, получает доступ в интернет ч\з сквид (192.168.51.1/24).

На шлюзе 192.168.0.1 стоит фаерволл (iptables), днс, и пр. для работы сети.

Проблема:

С внутренней сети 192.168.0.0/24 идет вирус-рассылка днс-запросов ч/з роутер 192.168.0.1 на сквид сервер 192.168.51.1

Задача: определить, с какого адреса были отосланы запросы

19-Feb-2010 14:46:46 http://www.cd4b4b03.com/97924996.htm

19-Feb-2010 14:46:46 http://www.c9423e05.com/D091130C.htm

19-Feb-2010 14:46:46 http://www.90500a02.com/D76009A2.htm

19-Feb-2010 14:46:46 http://www.76b8ee50.com/B0C664A2.htm

19-Feb-2010 14:46:47 http://www.1daf1940.com/93EF38E4.htm

19-Feb-2010 14:46:47 http://www.c92e4e0c.com/37478613.htm

19-Feb-2010 14:46:47 http://www.55fbd9c8.com/85CB152B.htm

19-Feb-2010 14:46:47 http://www.75916910.com/773351E3.htm

Возможно, днс-сервер ведет логи обращений к себе, тогда мы сможем выяснить, кто генерирует эти запросы

Ссылка на комментарий
Поделиться на другие сайты

Алексей писал(а) Mon, 22 March 2010 14:59

Возможно, днс-сервер ведет логи обращений к себе, тогда мы сможем выяснить, кто генерирует эти запросы

http://www.google.com/search?aq=f&sourceid=chrome&ie =UTF-8&q=bind9+log+queries

Ссылка на комментарий
Поделиться на другие сайты

Алексей писал(а) Mon, 22 March 2010 15:59

Здравствуйте!

имеется сеть (192.168.0.0/24) со шлюзом (192.168.0.1/24) на базе SuSE11.2, которая, в свою очередь, получает доступ в интернет ч\з сквид (192.168.51.1/24).

На шлюзе 192.168.0.1 стоит фаерволл (iptables), днс, и пр. для работы сети.

Проблема:

С внутренней сети 192.168.0.0/24 идет вирус-рассылка днс-запросов ч/з роутер 192.168.0.1 на сквид сервер 192.168.51.1

Каким образом dns запросы могут попасть на скуид?

Вы приводите запросы http.

Цитата:

Задача: определить, с какого адреса были отосланы запросы

Разве скуид не записывает адрес источника? Или у Вас на шлюзе стоит nat?

Ссылка на комментарий
Поделиться на другие сайты

Конечно же стоит нат - это же подсеть.

А логи приведены сквида, который дает выход в мир моему роутеру

Ссылка на комментарий
Поделиться на другие сайты

Алексей писал(а) Tue, 23 March 2010 09:10

Конечно же стоит нат - это же подсеть.

Почему, "конечно же". Нат не разделяет подсети, а дает возможность использовать один адрес группе компов (нужно при недостатке адресов). Адреса у вас серые, следовательно необходимости в нате нет.

Цитата:

А логи приведены сквида, который дает выход в мир моему роутеру

Если нат неизбежен, а логи бинда ни о чем не говорят (напр. прокси не прозрачный), то дампируйте сеть.

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...