PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : DNS Anfragen von unbekanntem Prozess.



d1keue
03.04.06, 17:06
Hallo ..
Bin neu in diesem Forum, deshalb bitte um Nachsicht ..

Benutze SuSE 10 mit local-LAN und DSL Zugang über FritzBox 7050.
Nun habe ich zu einem Zeitpunkt als das System eigentlich "IDLE" sein sollte, Netzwerk Aktivitäten festgestellt. Da ich etwas auf Security fokussiert bin, habe ich
dann den Traffic mittels Ethereal getraced.
Der Trace zeigte im wesentlichen nur DNS Anfragen. Die DNS Anfragen wurden auch alle resolved. Da zu dieser Zeit jedoch keine Netz-Anwendung (Browser, Mail-Client etc..) gestartet waren, hat mich das etwas stutzig gemacht :confused:

Meine Frage:
Wie kann ich feststellen, welche Anwendung bzw. PID diese DNS Queries absetzt. (Die DNS Abfragen betreffen Adressen von URL's die ich ca. 30 Minuten vorher über den Browser (Firefox) aufgerufen hatte).

Danke für jede Idee ..

IT-Low
03.04.06, 17:54
Meine Frage:
Wie kann ich feststellen, welche Anwendung bzw. PID diese DNS Queries absetzt. (Die DNS Abfragen betreffen Adressen von URL's die ich ca. 30 Minuten vorher über den Browser (Firefox) aufgerufen hatte).


lsof -i
netstat -anAinet

Lief Firefox zu der Zeit noch?

bla!zilla
03.04.06, 21:19
Da ich etwas auf Security fokussiert bin, habe ich
dann den Traffic mittels Ethereal getraced.

Paranoia?



Der Trace zeigte im wesentlichen nur DNS Anfragen. Die DNS Anfragen wurden auch alle resolved. Da zu dieser Zeit jedoch keine Netz-Anwendung (Browser, Mail-Client etc..) gestartet waren, hat mich das etwas stutzig gemacht

Die DNS Queries gehen von deinem Rechner aus?



Meine Frage:
Wie kann ich feststellen, welche Anwendung bzw. PID diese DNS Queries absetzt. (Die DNS Abfragen betreffen Adressen von URL's die ich ca. 30 Minuten vorher über den Browser (Firefox) aufgerufen hatte).


System mit netstat beobachten, ps -eaf.

d1keue
04.04.06, 16:08
lsof -i
netstat -anAinet

Lief Firefox zu der Zeit noch?

lsof -i hört sich gut an. Leider ist zu dem Zeitpunkt an dem ich den Command
absetze, eine normale DNS Abfrage schon gelaufen. DNS läuft über UDP Port 53 und baut keine Session auf. D.h. das ganze spielt sich im Sekunden Bereich ab.

Firefox war nicht mehr gestartet. Der Trace zeigt im wesentlichen die folgenden Steps:

(192.168.133.20 = PC, 192.168.133.99 = Gateway bzw. DNS)
----------- Start Trace --------------
time source destination Protocol Info
15:18:43 192.168.133.20 192.168.133.99 DNS Standard Query www.....
15:18:43 192.168.133.99 192.168.133.20 DNS Standard Query resp.....
15:18:43 192.168.133.20 192.168.133.99 DNS Standard Query www.....
15:18:43 192.168.133.99 192.168.133.20 DNS Standard Query resp.....
15:18:43 192.168.133.20 192.168.133.99 DNS Standard Query www.....
15:18:44 192.168.133.99 192.168.133.20 DNS Standard Query re. 213.87.
----- pause ---
15:20:14 ...... das gleiche in grün mit anderer URL
------------ End Trace --------------

Mir ist aufgefallen, daß alle DNS Anfragen Adressen betreffen, welche ich zuvor
mit dem Firefox aufgerufen hatte. (Wohlgemerkt: der Browser war während des Traces nicht mehr gestartet !)

Leider ist es mir bislang noch nicht gelungen mittels "lsof -i" oder "lsof -i udp:53"
den entsprechenden PID zu erwischen.

d1keue
04.04.06, 16:31
Paranoia?



Die DNS Queries gehen von deinem Rechner aus?



System mit netstat beobachten, ps -eaf.

Hi,

die DNS Abfragen gingen von meinem Rechner aus.

Mit dem PS -eaf kann ich mir zwar alle Prozesse bzw. Anwendungen anzeigen
lassen, jedoch nicht feststellen welche Anwendung zu einem bestimmten Zeitpunkt über UDP:53 eine DNS Abfrage losläßt.

d1keue
07.04.06, 16:13
lsof -i hört sich gut an. Leider ist zu dem Zeitpunkt an dem ich den Command
absetze, eine normale DNS Abfrage schon gelaufen. DNS läuft über UDP Port 53 und baut keine Session auf. D.h. das ganze spielt sich im Sekunden Bereich ab.

Firefox war nicht mehr gestartet. Der Trace zeigt im wesentlichen die folgenden Steps:

(192.168.133.20 = PC, 192.168.133.99 = Gateway bzw. DNS)
----------- Start Trace --------------
time source destination Protocol Info
15:18:43 192.168.133.20 192.168.133.99 DNS Standard Query www.....
15:18:43 192.168.133.99 192.168.133.20 DNS Standard Query resp.....
15:18:43 192.168.133.20 192.168.133.99 DNS Standard Query www.....
15:18:43 192.168.133.99 192.168.133.20 DNS Standard Query resp.....
15:18:43 192.168.133.20 192.168.133.99 DNS Standard Query www.....
15:18:44 192.168.133.99 192.168.133.20 DNS Standard Query re. 213.87.
----- pause ---
15:20:14 ...... das gleiche in grün mit anderer URL
------------ End Trace --------------

Mir ist aufgefallen, daß alle DNS Anfragen Adressen betreffen, welche ich zuvor
mit dem Firefox aufgerufen hatte. (Wohlgemerkt: der Browser war während des Traces nicht mehr gestartet !)

Leider ist es mir bislang noch nicht gelungen mittels "lsof -i" oder "lsof -i udp:53"
den entsprechenden PID zu erwischen.

Das Problem hat sich zum großen Teil geklärt:

Die suspekten DNS-Abfragen werden vom NSCD (Name Service Cache Daemon) abgesetzt. Der NSCD hat die Aufgabe einige Name Service Requests im System zu cachen. (Passwd, Group, Hosts etc.)
In der NSCD Konfigurationsdatei '/etc/nscd.conf' kann man das Verhalten des NSCD beinflussen.
Die asyncron auftretenden DNS-Abfragen werden wohl dadurch ausgelöst, daß der NSCD versucht nach einer bestimmten Zeit seinen Cache zu refreshen bzw. Up to Date zu halten. Ein 'rcnscd restart' sorg dafür, daß der NSCD-Cache geleert wird und die DNS-Abfragen schlagartig aufhöhren.

Danke an Alle, die mir geholfen haben ..