Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2023-01-21 11:53:16

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Z jakiej aplikacji pochodzą pakiety?

Hej. Mam przed swoim Debianem router na MikroTiku. Router ma Firewall. Firewall ma za zadanie przepuszczać tylko pakiety do określonych hostów/usług a resztę dropować. Działa niemalże idelanie. Dziennie dropowanych jest tylko kilkadziesiąt nierozpoznanych pakietów. Postawiłem sobie Sniffera na MikroTiku i ściągnąłem plik .pcap z tymi pakietami. Okazało się, że są to zapytania do DNSa Google:

1. IN AAAA moja_nazwa_hosta
2. IN A 0.pool.ntp.debian.org

Nie mam skonfigurowanego ntp na Debianie. Syslog też nic ciekawego nie pokazuje. Domyślam się, że jakiś program pracujący na komputerze próbuje zsynchronizować czas. Jak sprawdzić, który? Jakiego narzędzia użyć, które odpalone powiedzmy z roota da mi nazwę procesu, który wysyła te pakiety?

Offline

 

#2  2023-01-21 14:34:12

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Z jakiej aplikacji pochodzą pakiety?

Pewnie systemd-timesyncd.service .

Offline

 

#3  2023-01-21 23:19:23

  Bodzio - Ojciec Założyciel

Bodzio
Ojciec Założyciel
Skąd: Gorlice
Zarejestrowany: 2004-04-17
Serwis

Re: Z jakiej aplikacji pochodzą pakiety?

@morfik - zrobione.
Raczej lag na łączu. Na forum Olympusa często tak bywa.
---edit---
a jednak :)


Debian jest lepszy niż wszystkie klony
Linux register users: #359018
http://www.freebsd.org/gifs/powerlogo.gif
Beskid Niski

Offline

 

#4  2023-01-22 02:50:31

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Z jakiej aplikacji pochodzą pakiety?

DeWu napisał(-a):

Hej. Mam przed swoim Debianem router na MikroTiku...

W syslogu albo przez journalctl się dowiesz, co koryguje czas w systemie.

Do tego Mikrotika radzę zablokować wyjście z kompa a wypuszczać tylko programy dozwolone, przez cgroup.

W moim nftables wygląda to tak:

Kod:

chain output {
        type filter hook output priority 200; policy drop;
        ct state established,related accept
        oifname "lo" accept
        ip daddr @systemdns counter packets 13996 bytes 1246749 accept
        ip daddr 192.168.1.99 counter packets 2299 bytes 128744 reject with icmp port-unreachable
        ip6 daddr @systemdns6 counter packets 7943 bytes 870011 accept
        ip daddr @outallow counter packets 1646 bytes 98176 accept
        ip6 daddr @outallow6 counter packets 209 bytes 15804 accept
        ip daddr @akregator counter packets 18804 bytes 1168604 accept
        ip6 daddr @akregator6 counter packets 11944 bytes 5859905 accept
        ip protocol icmp counter packets 8442 bytes 875816 accept
        ip6 nexthdr ipv6-icmp counter packets 12283 bytes 812311 accept
        meta cgroup 1 counter packets 1534 bytes 551756 accept
        meta cgroup 2 counter packets 9467 bytes 555789 accept
        meta cgroup 3 counter packets 5206 bytes 1007228 accept
        meta cgroup 4 counter packets 17450 bytes 2616744 accept
        meta cgroup 5 counter packets 90 bytes 7548 accept
        meta cgroup 6 counter packets 4866 bytes 275476 accept
        meta cgroup 7 counter packets 0 bytes 0 accept
        meta cgroup 8 counter packets 3247 bytes 187192 accept
        meta cgroup 9 counter packets 534 bytes 36082 accept
        meta cgroup 11 counter packets 0 bytes 0 accept
        tcp dport 53 meta skuid 40 accept
        meta skuid 123 accept
        udp dport 53 meta skuid 40 accept
        ct state new meta cgroup 7 log prefix "MATE Zablokowane: " flags skuid reject
        ct state new meta cgroup 8 log prefix "AKREGATOR Zablokowany: " flags skuid reject
        ct state new meta skuid 250 log prefix "PORTAGE Zablokowane: " flags skuid reject
        ct state new meta skuid 0 log prefix "ROOT Zablokowany: " flags skuid reject
        ct state new log prefix "OUTPUT Zablokowany: " flags skuid reject
        reject
}

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2023-01-22 19:13:23

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: Z jakiej aplikacji pochodzą pakiety?

morfik napisał(-a):

Pewnie systemd-timesyncd.service .

Zatrzymałem tego deamona i ilość pakietów drastycznie spadła. Mam  już tylko po 4 zapytania pod rząd DNS o moją nazwę hosta na każdą godzinę. Nie mogę namierzyć, jaka aplikacja próbuje się komunikowac z 8.8.8.8 i 8.8.4.4

Offline

 

#6  2023-01-26 14:55:12

  seler - Użytkownik

seler
Użytkownik
Zarejestrowany: 2012-05-15

Re: Z jakiej aplikacji pochodzą pakiety?

tu jest ciekawy poradnik jakby można to zrobić. Tyle że ja nie próbowałem:
https://linuxhint.com/network_usage_per_process/


a to feler westchnął seler

Offline

 

#7  2023-01-26 16:18:39

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: Z jakiej aplikacji pochodzą pakiety?

Przejrzałem, narzędzie iptraf i iftop znam. Nie dało mi żadnych doatkowych informacji poza tym, co już wiem: host próbuje łączyć się z IP Googlowych DNSów. Udało mi się nawet na lajfie złapać taką sytuację:
Szybko dałem netstat | grep 8.8.8

Kod:

unix  3      [ ]         STREAM     CONNECTED     2398685830 @/dbus-vfs-daemon/socket-dixtvPYrC
unix  3      [ ]         STREAM     CONNECTED     2398685824 @/dbus-vfs-daemon/socket-janUsSrwk

Offline

 

#8  2023-01-26 19:47:53

  seler - Użytkownik

seler
Użytkownik
Zarejestrowany: 2012-05-15

Re: Z jakiej aplikacji pochodzą pakiety?

złego grepa dałeś. On ci zinterpretował kropkę jako dowolny znak i dlatego dopasował te 8.8.8 do 2398685830. Powinieneś dać grepa z parametrem -F i najlepiej pełny adres IP.

A najlepiej tak jak w poradniku napisano netstat -tunp | grep -F '8.8.8.8'
Odpal to na jakiś czas i zobacz co wypluje

Ostatnio edytowany przez seler (2023-01-26 19:50:19)


a to feler westchnął seler

Offline

 

#9  2023-01-27 11:27:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Z jakiej aplikacji pochodzą pakiety?

Kod:

ss -ptun

też pokazuje procesy po nazwach.
np:

Kod:

ss -ptun  |grep "54.149.156.115"
tcp   ESTAB 0      0                               192.168.9.10:44972           54.149.156.115:443   users:(("firefox",pid=834,fd=66))

W ostatniej kolumnie masz nazwę i PID procesu.

Ostatnio edytowany przez Jacekalex (2023-01-27 11:52:42)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2023-01-27 12:02:56

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: Z jakiej aplikacji pochodzą pakiety?

Zadziałało tak jak napisał seler. Dzięki!

Offline

 

#11  2023-01-27 13:57:44

  seler - Użytkownik

seler
Użytkownik
Zarejestrowany: 2012-05-15

Re: Z jakiej aplikacji pochodzą pakiety?

I co to był za proces?


a to feler westchnął seler

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)