iptraf

[Horst H. von Brand]

Satara Plaza <satarap en gmail.com> wrote:
> Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede que hoy
> revise el cisco y me encontre que las luces de TxRX estaban como locas , no
> usual como de costumbre. Por lo que fui a mi servidor (Debian etch, squid
> transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp,
> apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0 para la Wan
> con ip fija de entel, eth1para la Lan) , y lo revise con :

> # iptraf
> mirando los paquetes en eth0 , apage TODAS las maquinas y me puse a analizar
> , para mi sorpresa me aparece en paquetes capturados (parte inferior del
> iptraf)
> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
> HWaddr ....

Te estan tirando trafico como loco. Via UDP, curioso. Ataque? Captura un
rato de eso (con tcpdump) y analizalo con wireshark.

Notese que mensajes (mal) traducidos en castellano son utiles para
ignorantes del ingles, para gente civilizada solo valen los originales.

> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
> HWaddr ....

Consultas DNS? Alquien te tiene de casero de alla?!

> UDP (59 bytes) from 64.18.140.180:PUERTOS to MI_DOMINIO:domain (src HWaddr
> ....
> UDP (59 bytes) from 64.18.140.180:PUERTOS to MI_DOMINIO:domain (src HWaddr
> ....
> UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr
> ....

Origenes que varian? Estan tratando de craquearte bind?

[...]

> Amigos estoy CASI a abrazos cruzados, intente bloquear la ip con ip tables
> /sbin/iptables -A INPUT -s 64.18.140.180 -j DROP
> y nada...

Obvio... tu filtro actua en el PC, no en el CISCO ;-)
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513