Forum Debian Users Gang

DeWu · 2023-01-21 11:53:16

Hej. Mam przed swoim Debianem router na MikroTiku. Router ma Firewall. Firewall ma za zadanie przepuszczać tylko pakiety do określonych hostów/usług a resztę dropować. Działa niemalże idelanie. Dziennie dropowanych jest tylko kilkadziesiąt nierozpoznanych pakietów. Postawiłem sobie Sniffera na MikroTiku i ściągnąłem plik .pcap z tymi pakietami. Okazało się, że są to zapytania do DNSa Google:

1. IN AAAA moja_nazwa_hosta
2. IN A 0.pool.ntp.debian.org

Nie mam skonfigurowanego ntp na Debianie. Syslog też nic ciekawego nie pokazuje. Domyślam się, że jakiś program pracujący na komputerze próbuje zsynchronizować czas. Jak sprawdzić, który? Jakiego narzędzia użyć, które odpalone powiedzmy z roota da mi nazwę procesu, który wysyła te pakiety?

morfik · 2023-01-21 14:34:12

Pewnie systemd-timesyncd.service .

Bodzio · 2023-01-21 23:19:23

@morfik - zrobione.
Raczej lag na łączu. Na forum Olympusa często tak bywa.
---edit---
a jednak :)

Jacekalex · 2023-01-22 02:50:31

DeWu napisał(-a):
Hej. Mam przed swoim Debianem router na MikroTiku...

W syslogu albo przez journalctl się dowiesz, co koryguje czas w systemie.

Do tego Mikrotika radzę zablokować wyjście z kompa a wypuszczać tylko programy dozwolone, przez cgroup.

W moim nftables wygląda to tak:

Kod:

chain output {
        type filter hook output priority 200; policy drop;
        ct state established,related accept
        oifname "lo" accept
        ip daddr @systemdns counter packets 13996 bytes 1246749 accept
        ip daddr 192.168.1.99 counter packets 2299 bytes 128744 reject with icmp port-unreachable
        ip6 daddr @systemdns6 counter packets 7943 bytes 870011 accept
        ip daddr @outallow counter packets 1646 bytes 98176 accept
        ip6 daddr @outallow6 counter packets 209 bytes 15804 accept
        ip daddr @akregator counter packets 18804 bytes 1168604 accept
        ip6 daddr @akregator6 counter packets 11944 bytes 5859905 accept
        ip protocol icmp counter packets 8442 bytes 875816 accept
        ip6 nexthdr ipv6-icmp counter packets 12283 bytes 812311 accept
        meta cgroup 1 counter packets 1534 bytes 551756 accept
        meta cgroup 2 counter packets 9467 bytes 555789 accept
        meta cgroup 3 counter packets 5206 bytes 1007228 accept
        meta cgroup 4 counter packets 17450 bytes 2616744 accept
        meta cgroup 5 counter packets 90 bytes 7548 accept
        meta cgroup 6 counter packets 4866 bytes 275476 accept
        meta cgroup 7 counter packets 0 bytes 0 accept
        meta cgroup 8 counter packets 3247 bytes 187192 accept
        meta cgroup 9 counter packets 534 bytes 36082 accept
        meta cgroup 11 counter packets 0 bytes 0 accept
        tcp dport 53 meta skuid 40 accept
        meta skuid 123 accept
        udp dport 53 meta skuid 40 accept
        ct state new meta cgroup 7 log prefix "MATE Zablokowane: " flags skuid reject
        ct state new meta cgroup 8 log prefix "AKREGATOR Zablokowany: " flags skuid reject
        ct state new meta skuid 250 log prefix "PORTAGE Zablokowane: " flags skuid reject
        ct state new meta skuid 0 log prefix "ROOT Zablokowany: " flags skuid reject
        ct state new log prefix "OUTPUT Zablokowany: " flags skuid reject
        reject
}

DeWu · 2023-01-22 19:13:23

morfik napisał(-a):
Pewnie systemd-timesyncd.service .

Zatrzymałem tego deamona i ilość pakietów drastycznie spadła. Mam już tylko po 4 zapytania pod rząd DNS o moją nazwę hosta na każdą godzinę. Nie mogę namierzyć, jaka aplikacja próbuje się komunikowac z 8.8.8.8 i 8.8.4.4

seler · 2023-01-26 14:55:12

tu jest ciekawy poradnik jakby można to zrobić. Tyle że ja nie próbowałem:
https://linuxhint.com/network_usage_per_process/

DeWu · 2023-01-26 16:18:39

Przejrzałem, narzędzie iptraf i iftop znam. Nie dało mi żadnych doatkowych informacji poza tym, co już wiem: host próbuje łączyć się z IP Googlowych DNSów. Udało mi się nawet na lajfie złapać taką sytuację:
Szybko dałem netstat | grep 8.8.8

Kod:

unix  3      [ ]         STREAM     CONNECTED     2398685830 @/dbus-vfs-daemon/socket-dixtvPYrC
unix  3      [ ]         STREAM     CONNECTED     2398685824 @/dbus-vfs-daemon/socket-janUsSrwk

seler · 2023-01-26 19:47:53

złego grepa dałeś. On ci zinterpretował kropkę jako dowolny znak i dlatego dopasował te 8.8.8 do 2398685830. Powinieneś dać grepa z parametrem -F i najlepiej pełny adres IP.

A najlepiej tak jak w poradniku napisano netstat -tunp | grep -F '8.8.8.8'
Odpal to na jakiś czas i zobacz co wypluje

Ostatnio edytowany przez seler (2023-01-26 19:50:19)

Jacekalex · 2023-01-27 11:27:35

Kod:

ss -ptun

też pokazuje procesy po nazwach.
np:

Kod:

ss -ptun  |grep "54.149.156.115"
tcp   ESTAB 0      0                               192.168.9.10:44972           54.149.156.115:443   users:(("firefox",pid=834,fd=66))

W ostatniej kolumnie masz nazwę i PID procesu.

Ostatnio edytowany przez Jacekalex (2023-01-27 11:52:42)

DeWu · 2023-01-27 12:02:56

Zadziałało tak jak napisał seler. Dzięki!

seler · 2023-01-27 13:57:44

I co to był za proces?

Forum Debian Users Gang

Ogłoszenie

#1 2023-01-21 11:53:16

DeWu - Użytkownik

Z jakiej aplikacji pochodzą pakiety?

#2 2023-01-21 14:34:12

morfik - Cenzor wirtualnego świata

Re: Z jakiej aplikacji pochodzą pakiety?

#3 2023-01-21 23:19:23

Bodzio - Ojciec Założyciel

Re: Z jakiej aplikacji pochodzą pakiety?

#4 2023-01-22 02:50:31

Jacekalex - Podobno człowiek...;)

Re: Z jakiej aplikacji pochodzą pakiety?

DeWu napisał(-a):

Kod:

#5 2023-01-22 19:13:23

DeWu - Użytkownik

Re: Z jakiej aplikacji pochodzą pakiety?

morfik napisał(-a):

#6 2023-01-26 14:55:12

seler - Użytkownik

Re: Z jakiej aplikacji pochodzą pakiety?

#7 2023-01-26 16:18:39

DeWu - Użytkownik

Re: Z jakiej aplikacji pochodzą pakiety?

Kod:

#8 2023-01-26 19:47:53

seler - Użytkownik

Re: Z jakiej aplikacji pochodzą pakiety?

#9 2023-01-27 11:27:35

Jacekalex - Podobno człowiek...;)

Re: Z jakiej aplikacji pochodzą pakiety?

Kod:

Kod:

#10 2023-01-27 12:02:56

DeWu - Użytkownik

Re: Z jakiej aplikacji pochodzą pakiety?

#11 2023-01-27 13:57:44

seler - Użytkownik

Re: Z jakiej aplikacji pochodzą pakiety?

Stopka forum