请教，为何我tcpdump到自己在不断发dns查询？|Linux系统专区人人网,QQ空间,登陆,renren,注册,校内,刷人气

离线心只有之.

初中三年级

发帖: 2032

C币: -60525

威望: 390

贡献值: 1

银元: -5

铜钱: 4497

人人网人气币: 0

只看楼主正序阅读使用道具楼主发表于: 2009-05-01

放到一个托管机房测试，发现自己的机器在.发dns查询，rkhunter查了一下没发现什么木马，而且lastlog看也没什么.异状…….
# tcpd.ump host 218.106.165.169 and not port ssh and not .port http           建材
tcpdump: verb.ose output suppressed, use -v or -vv for full. protocol decode.
listening on .eth0, link-type EN10MB (Etherne.t), capture size 96 bytes--------------彩票
tcpdump: verbose output suppres.sed,. use -v or -vv for full protocol decode学习
listening on eth0, link-type EN10M.B (Ethern.et), capture size 96 bytes虚拟主机
10:24:38.138865 arp who-has .218.106.165.254 tel.l 218.106.165.169--- 印刷
10:24:38.139278 IP 218..1.06.165.169.32768 > linedns.bta.net.cn.domain:  36174+ PTR? 254.165.106.218.in-addr.arpa. (46.)          婚庆
10:24:38.139303 arp. reply 21.8.106.165.254 is-at 00:00:0c:07:ac:67虚拟主机
10:24:38.142171 IP linedns.bta.net.cn..domai.n. > 218.106.165.169.32768:  36174 NXDomain 0/1/0 (100)<性病>
10:24:38.142248 IP 218.106..165.169.32768 .> linedns.bta.net.cn.domain:  20970+ PTR? 169.165.106.218.in-.addr.arpa. (46).
10:24:38.148690 IP linedns.bta.net.cn.domain > 218.10.6.165.169.32768:  20970 N.XDomain. 0/1/0 (100)健康
10:24:38.148769 I.P 218.106.165.169..32768 > l.inedns.bta.net.cn.domain:  42642+ PTR? 115.196.106.202.in-addr.arpa. (46).
10:24:38.150145 IP line.dns.bta.net.cn.domai.n > 218.106.165.169.32768:.  42642 1/0/0 (78)虚拟主机
10:2.5:10.29.3440 arp who-has 218.106.165.254 tell 218.106.165.169    美容
10:.25:10.293.881 arp reply 218.106.165.254 is-at 00:00:0c:07:ac:67           鲜花
10:25:24.448731 IP sonicwall.gcpower.ne.t > 218.106.165.169: icmp 72: echo r.equest .seq 14225           女人
10:25.:24.448818 IP 218.106..165.169.32768 > linedns.bta.net.cn.d.omain:  59402+ PTR? 20.60.215.216.in-addr.arpa. (44).
10:25:27.392000 IP .linedns..bta.net.cn.domain > 218.106..165.169.32768:  59402 1/0/0 (79).
10:25:42.867632 IP 222.128.70.17.32793 > 218.1..06.165.169.snmp:  GetRequest(39)  inte.rfaces.ifTable.ifE.ntry.ifInOctets.2 [|snmp].
10:2.5:42.867711 IP 218.106.165.169.32768 > linedns.bta.net.cn.domain:  19736+ PTR?. 17.70.128.222.in-addr.arpa. (44.)学习
10:25:42.869123 IP 218.106.165.169.snmp > 222.12.8.70.17.32793:  GetResponse(39)  interfac.es.ifTable.if.Entry.ifInOctets.2=5425317.78 .iso.org=[|snmp]外贸
10:25:42.869721 IP l.inedns.bta.net.cn.domain > 218.106..165.169.32768:  19736 NXDomain 0/1/0 (98.)学习

我正在查cr.ond有没有异常…….
我发现这个机房.的确有很多奇怪的流量，哪位能.给解解惑么？.

[ 本帖.最后由 iamshiyu. 于 2008-1-25 10:28 编辑 ].

评价一下你浏览此帖子的感受

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

离线lj80117.

初中三年级

发帖: 2080

C币: -140273

威望: 384

贡献值: 1

银元: -3

铜钱: 4627

人人网人气币: 0

只看该作者 5楼发表于: 2010-04-13

man tcpdump

-n Don't convert host addresses to names. This can be used to avoid DNS lookups.

-nn Don't convert protocol and port numbers etc. to names either.

离线sfs041134.

初中三年级

发帖: 2126

C币: -60295

威望: 402

贡献值: 1

银元: -1

铜钱: 4790

人人网人气币: 0

只看该作者 4楼发表于: 2010-04-13

谢谢，看来dns那个是这个问题……不过为何它要自己解析这个域名呢？还是说有个外部的什么连接刺激了它才会这样吧？

离线加子里.

初中三年级

发帖: 2086

C币: -152245

威望: 383

贡献值: 1

银元: -5

铜钱: 4676

人人网人气币: 0

只看该作者地板发表于: 2010-04-13

哦？这样啊？我试试看。
可是我两台机器放在两个不同的网里，测试参数相同，那一台就没这个问题……怪异。

离线淡秋.

初中三年级

发帖: 2061

C币: -604968

威望: 375

贡献值: 4

银元: 0

铜钱: 4631

人人网人气币: 0

只看该作者板凳发表于: 2010-04-13

是tcpdump自己在解析ip->域名查询

使用tcpdump -nnn就不会有了

离线wjx79979.

初中三年级

发帖: 2074

C币: -193461

威望: 338

贡献值: 1

银元: -7

铜钱: 4611

人人网人气币: 0

只看该作者沙发发表于: 2010-04-13

看了一下，每分钟执行的只有cron.hourly，但是其中并没有任何内容。
ps aux中倒是有at的一些相关内容：
root       487  0.0  0.0     0    0 ?        S<   Jan24   0:00 [ata/0]
root       488  0.0  0.0     0    0 ?        S<   Jan24   0:00 [ata/1]
root       489  0.0  0.0     0    0 ?        S<   Jan24   0:00 [ata/2]
root       490  0.0  0.0     0    0 ?        S<   Jan24   0:00 [ata/3]
root       491  0.0  0.0     0    0 ?        S<   Jan24   0:00 [ata_aux]
rpcuser   3302  0.0  0.0  3024  736 ?        Ss   Jan24   0:00 rpc.statd
root      3672  0.0  0.0  2268  424 ?        Ss   Jan24   0:00 /usr/sbin/atd
有什么可疑之处么？


	http://www.csuboy.com 访问内容超出本站范围，不能确定是否安全


	关闭您还没有登录，快捷通道只有在登录后才能使用。立即登录还没有帐号？赶紧注册一个


	关闭选中1篇全选

帖子

[问题求助]请教，为何我tcpdump到自己在不断发dns查询？ [复制链接]