iptraf

[Horst H. von Brand]

Alberto Rivera <rivera.alberto en gmail.com> wrote:
> Miguel Oyarzo O. wrote:
> > At 16:06 07/02/2008, Alberto Rivera wrote:
> >> Satara Plaza wrote:
> >>> Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede
> >>> que hoy
> >>> revise el cisco y me encontre que las luces de TxRX estaban como
> >>> locas , no
> >>> usual como de costumbre. Por lo que fui a mi servidor (Debian
> >>> etch, squid
> >>> transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp,
> >>> apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0
> >>> para la Wan
> >>> con ip fija de entel, eth1para la Lan) , y lo revise con :
> >>>
> >> me parece que son muchos servicios en una sola máquina, en lo
> >> personal no se me ocurriría correr el squid con el servidor de
> >> correo o el bind, pero esa es la gracia de esto =) ...
> >> bueno te comento que obviamente esos mensaje son del bind ya que
> >> ese es el que trabaja en el 59 UDP, pero en realidad puede ser por
> >> varias cosas, primero te pueden

> > de que hablas ....
> >  en la salida iptraf mostrada  dice
> > UDP (59 bytes)  -  nada que ver con puerta UDP 59
> > (bind trabaja en el 53/UDP para resolucion... y otra para
> > trasferencias de zonas)

DNS usa 53 UDP normalmente, si la respuesta no cabe en un datagrama UDP,
usa TCP 53. Y el trafico es UDP, dirigido a MI_DOMINIO:domain (supongo que
MI_DOMINIO esta editado...).

[...]

> >> el bind esta abierto a conexiones exteriores y están resolviendo
> >> con tu bind,

> > No creo. Solo hay trafico en una direccion y todos los paquetes de >
> > entrada tienen el mismo tamanio. No es el patron esperable de algo asi.

Revisa con wireshark que trafico es!

[...]

> > No, el trafico entrante observado es directo hacia la puerta 53 del dns
> > ademas, no se envian mensajes a travez de un dominio (no tiene
> > sentido).

Bueh... como los "inteligentes" administradores de cortafuegos solo dejan
pasar HTTP y DNS, le tenimos arquitecturas inteligentes a la SOAP... hasta
hay un RFC que describe como encapsular IP en HTTP ;-) Y no es tan raro que
ciertas porquerias usen DNS para controlar a sus zombies.

> pero pueden estar haciendo spam desde la máquina o en realidad
> utilizandola para spam y resolver por eso la cantidad de mensajes del
> dns...

Eso no explica porque consultan solo alli. Claro, puede ser simplemente
algun DHCP tarado que distribuye un resolv.conf funado a una gran red de
clientes, haciendo que intenten consultar alli...

>        o pueden incluso una de las máquinas de la lan tener un virus
> que este haciendo esta función ... como se está controlando el acceso
> interno ¿?

El trafico viene de /afuera/...
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513