Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2023-01-21 11:53:16
DeWu - 
Użytkownik
- DeWu
- Użytkownik
- Zarejestrowany: 2013-03-26
Z jakiej aplikacji pochodzą pakiety?
Hej. Mam przed swoim Debianem router na MikroTiku. Router ma Firewall. Firewall ma za zadanie przepuszczać tylko pakiety do określonych hostów/usług a resztę dropować. Działa niemalże idelanie. Dziennie dropowanych jest tylko kilkadziesiąt nierozpoznanych pakietów. Postawiłem sobie Sniffera na MikroTiku i ściągnąłem plik .pcap z tymi pakietami. Okazało się, że są to zapytania do DNSa Google:
1. IN AAAA moja_nazwa_hosta
2. IN A 0.pool.ntp.debian.org
Nie mam skonfigurowanego ntp na Debianie. Syslog też nic ciekawego nie pokazuje. Domyślam się, że jakiś program pracujący na komputerze próbuje zsynchronizować czas. Jak sprawdzić, który? Jakiego narzędzia użyć, które odpalone powiedzmy z roota da mi nazwę procesu, który wysyła te pakiety?
Offline
#2 2023-01-21 14:34:12
morfik - Cenzor wirtualnego świata
#3 2023-01-21 23:19:23
Bodzio - Ojciec Założyciel
Re: Z jakiej aplikacji pochodzą pakiety?
@morfik - zrobione.
Raczej lag na łączu. Na forum Olympusa często tak bywa.
---edit---
a jednak :)
Offline
#4 2023-01-22 02:50:31
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Z jakiej aplikacji pochodzą pakiety?
DeWu napisał(-a):
Hej. Mam przed swoim Debianem router na MikroTiku...
W syslogu albo przez journalctl się dowiesz, co koryguje czas w systemie.
Do tego Mikrotika radzę zablokować wyjście z kompa a wypuszczać tylko programy dozwolone, przez cgroup.
W moim nftables wygląda to tak:
Kod:
chain output {
type filter hook output priority 200; policy drop;
ct state established,related accept
oifname "lo" accept
ip daddr @systemdns counter packets 13996 bytes 1246749 accept
ip daddr 192.168.1.99 counter packets 2299 bytes 128744 reject with icmp port-unreachable
ip6 daddr @systemdns6 counter packets 7943 bytes 870011 accept
ip daddr @outallow counter packets 1646 bytes 98176 accept
ip6 daddr @outallow6 counter packets 209 bytes 15804 accept
ip daddr @akregator counter packets 18804 bytes 1168604 accept
ip6 daddr @akregator6 counter packets 11944 bytes 5859905 accept
ip protocol icmp counter packets 8442 bytes 875816 accept
ip6 nexthdr ipv6-icmp counter packets 12283 bytes 812311 accept
meta cgroup 1 counter packets 1534 bytes 551756 accept
meta cgroup 2 counter packets 9467 bytes 555789 accept
meta cgroup 3 counter packets 5206 bytes 1007228 accept
meta cgroup 4 counter packets 17450 bytes 2616744 accept
meta cgroup 5 counter packets 90 bytes 7548 accept
meta cgroup 6 counter packets 4866 bytes 275476 accept
meta cgroup 7 counter packets 0 bytes 0 accept
meta cgroup 8 counter packets 3247 bytes 187192 accept
meta cgroup 9 counter packets 534 bytes 36082 accept
meta cgroup 11 counter packets 0 bytes 0 accept
tcp dport 53 meta skuid 40 accept
meta skuid 123 accept
udp dport 53 meta skuid 40 accept
ct state new meta cgroup 7 log prefix "MATE Zablokowane: " flags skuid reject
ct state new meta cgroup 8 log prefix "AKREGATOR Zablokowany: " flags skuid reject
ct state new meta skuid 250 log prefix "PORTAGE Zablokowane: " flags skuid reject
ct state new meta skuid 0 log prefix "ROOT Zablokowany: " flags skuid reject
ct state new log prefix "OUTPUT Zablokowany: " flags skuid reject
reject
}W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2023-01-22 19:13:23
DeWu - Użytkownik
- DeWu
- Użytkownik
- Zarejestrowany: 2013-03-26
Re: Z jakiej aplikacji pochodzą pakiety?
morfik napisał(-a):
Pewnie systemd-timesyncd.service .
Zatrzymałem tego deamona i ilość pakietów drastycznie spadła. Mam już tylko po 4 zapytania pod rząd DNS o moją nazwę hosta na każdą godzinę. Nie mogę namierzyć, jaka aplikacja próbuje się komunikowac z 8.8.8.8 i 8.8.4.4
Offline
#6 2023-01-26 14:55:12
seler - Użytkownik
- seler
- Użytkownik
- Zarejestrowany: 2012-05-15
Re: Z jakiej aplikacji pochodzą pakiety?
tu jest ciekawy poradnik jakby można to zrobić. Tyle że ja nie próbowałem:
https://linuxhint.com/network_usage_per_process/
a to feler westchnął seler
Offline
#7 2023-01-26 16:18:39
DeWu - Użytkownik
- DeWu
- Użytkownik
- Zarejestrowany: 2013-03-26
Re: Z jakiej aplikacji pochodzą pakiety?
Przejrzałem, narzędzie iptraf i iftop znam. Nie dało mi żadnych doatkowych informacji poza tym, co już wiem: host próbuje łączyć się z IP Googlowych DNSów. Udało mi się nawet na lajfie złapać taką sytuację:
Szybko dałem netstat | grep 8.8.8
Kod:
unix 3 [ ] STREAM CONNECTED 2398685830 @/dbus-vfs-daemon/socket-dixtvPYrC unix 3 [ ] STREAM CONNECTED 2398685824 @/dbus-vfs-daemon/socket-janUsSrwk
Offline
#8 2023-01-26 19:47:53
seler - Użytkownik
- seler
- Użytkownik
- Zarejestrowany: 2012-05-15
Re: Z jakiej aplikacji pochodzą pakiety?
złego grepa dałeś. On ci zinterpretował kropkę jako dowolny znak i dlatego dopasował te 8.8.8 do 2398685830. Powinieneś dać grepa z parametrem -F i najlepiej pełny adres IP.
A najlepiej tak jak w poradniku napisano netstat -tunp | grep -F '8.8.8.8'
Odpal to na jakiś czas i zobacz co wypluje
Ostatnio edytowany przez seler (2023-01-26 19:50:19)
a to feler westchnął seler
Offline
#9 2023-01-27 11:27:35
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Z jakiej aplikacji pochodzą pakiety?
Kod:
ss -ptun
też pokazuje procesy po nazwach.
np:
Kod:
ss -ptun |grep "54.149.156.115"
tcp ESTAB 0 0 192.168.9.10:44972 54.149.156.115:443 users:(("firefox",pid=834,fd=66))W ostatniej kolumnie masz nazwę i PID procesu.
Ostatnio edytowany przez Jacekalex (2023-01-27 11:52:42)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#10 2023-01-27 12:02:56
DeWu - Użytkownik
- DeWu
- Użytkownik
- Zarejestrowany: 2013-03-26
Re: Z jakiej aplikacji pochodzą pakiety?
Zadziałało tak jak napisał seler. Dzięki!
Offline
#11 2023-01-27 13:57:44
seler - Użytkownik
- seler
- Użytkownik
- Zarejestrowany: 2012-05-15
Re: Z jakiej aplikacji pochodzą pakiety?
I co to był za proces?
a to feler westchnął seler
Offline