Fedora Linux 不断向随机站点发出 DNS 请求

Question 1

你不知道的网站思考您访问的域名可能只是您访问的网站的名称服务器。例如，Superuser 实际上位于http://www.peak.orgVLAN 上的数据中心。这些神秘请求也可能是后台服务（例如您的系统查询互联网时间服务器），而不是像您的 torrent 客户端这样的明显程序。

Answer

你不知道的网站思考您访问的域名可能只是您访问的网站的名称服务器。例如，Superuser 实际上位于http://www.peak.orgVLAN 上的数据中心。这些神秘请求也可能是后台服务（例如您的系统查询互联网时间服务器），而不是像您的 torrent 客户端这样的明显程序。

Question 2

一些注释。

您在评论中提到的所有名称似乎
都与您的浏览器或 Fedora 更新过程有关。
- 当您从静默 Fedora 安装中运行 wireshark 时，
  保持打开捕获过滤器以获取所有数据包会很有帮助。
  这会告诉您在 DNS 查找后网站发生了什么。
  后一部分将提供非常有用的信息。
  如果涉及恶意软件，DNS 查找将是最不可疑的数据包。
- 一般来说（我可能在这个问题上冒了很大风险），
  不太可能有某种形式的 root-kit 攻击你的 Fedora，
  而且你应该根据以上两点找到合理的答案。
  那么，适当的做法是，
- 一旦你确信情况并非如此，就从你的问题中删除worm和标签。至少考虑在你的问题中澄清你的调查结果。virus
- 在你的问题中添加注释，描述你的 Fedora 上到底发生了什么

更新您的结果将有助于人们在将来解答这个问题。

Answer

一些注释。

您在评论中提到的所有名称似乎
都与您的浏览器或 Fedora 更新过程有关。
- 当您从静默 Fedora 安装中运行 wireshark 时，
  保持打开捕获过滤器以获取所有数据包会很有帮助。
  这会告诉您在 DNS 查找后网站发生了什么。
  后一部分将提供非常有用的信息。
  如果涉及恶意软件，DNS 查找将是最不可疑的数据包。
- 一般来说（我可能在这个问题上冒了很大风险），
  不太可能有某种形式的 root-kit 攻击你的 Fedora，
  而且你应该根据以上两点找到合理的答案。
  那么，适当的做法是，
- 一旦你确信情况并非如此，就从你的问题中删除worm和标签。至少考虑在你的问题中澄清你的调查结果。virus
- 在你的问题中添加注释，描述你的 Fedora 上到底发生了什么

更新您的结果将有助于人们在将来解答这个问题。

Question 3

您可以尝试使用 ltrace 捕获任何正在运行的程序的 DNS api，例如 gethostbyname()、getaddrinfo()。

[root@fc8 tmp]# ltrace -e getaddrinfo -f -tt wget http://www.google.com
--07:30:31--  http://www.google.com/
           => `index.html'
Resolving www.google.com... 07:30:31.415398 getaddrinfo("www.google.com", NULL, 0xbfd5e120, 0xbfd5e154) = 0
72.14.213.106, 72.14.213.105, 72.14.213.103, ...
Connecting to www.google.com|72.14.213.106|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]

    [ <=>                                                     ] 5,640         --.--K/s

07:30:31 (216.90 KB/s) - `index.html' saved [5640]

您可以使用 -p pid 选项将 ltrace 附加到正在运行的程序。

如果你真的喜欢犯罪现场调查 / 佩里·梅森 / 福尔摩斯，你可以尝试编写一个 shim 库来全局替换 DNS API，并记录每个人正在做什么。使用修改动态库而不更改源代码举个例子。

请让我们知道你的发现。

Answer

您可以尝试使用 ltrace 捕获任何正在运行的程序的 DNS api，例如 gethostbyname()、getaddrinfo()。

[root@fc8 tmp]# ltrace -e getaddrinfo -f -tt wget http://www.google.com
--07:30:31--  http://www.google.com/
           => `index.html'
Resolving www.google.com... 07:30:31.415398 getaddrinfo("www.google.com", NULL, 0xbfd5e120, 0xbfd5e154) = 0
72.14.213.106, 72.14.213.105, 72.14.213.103, ...
Connecting to www.google.com|72.14.213.106|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]

    [ <=>                                                     ] 5,640         --.--K/s

07:30:31 (216.90 KB/s) - `index.html' saved [5640]

您可以使用 -p pid 选项将 ltrace 附加到正在运行的程序。

如果你真的喜欢犯罪现场调查 / 佩里·梅森 / 福尔摩斯，你可以尝试编写一个 shim 库来全局替换 DNS API，并记录每个人正在做什么。使用修改动态库而不更改源代码举个例子。

请让我们知道你的发现。

Question 4

将所有名称服务器切换为 OpenDNS（208.67.222.222 和 208.67.220.220）或 Google（8.8.8.8 和 8.8.4.4），因为这样如果您的任何请求 DNS 条目为已知恶意软件站点和钓鱼站点，您都可以收到警报。我推荐使用 OpenDNS 而不是 Google，因为它对网站类别的控制非常细粒度。您可以阻止所有对 .ru 和 .cn 的 DNS 查询，然后将合法的 DNS 查询列入白名单。

netstat 可以告诉您当前的连接以及打开这些连接的进程。记住这个命令，t=tcp,u=udp,n=numerical,a=all, p=processes: netstat -tunap

防火墙活动：iptstate

主机 peak.org whois peak.org robtex.com 非常适合分析网络。

Answer

将所有名称服务器切换为 OpenDNS（208.67.222.222 和 208.67.220.220）或 Google（8.8.8.8 和 8.8.4.4），因为这样如果您的任何请求 DNS 条目为已知恶意软件站点和钓鱼站点，您都可以收到警报。我推荐使用 OpenDNS 而不是 Google，因为它对网站类别的控制非常细粒度。您可以阻止所有对 .ru 和 .cn 的 DNS 查询，然后将合法的 DNS 查询列入白名单。

netstat 可以告诉您当前的连接以及打开这些连接的进程。记住这个命令，t=tcp,u=udp,n=numerical,a=all, p=processes: netstat -tunap

防火墙活动：iptstate

主机 peak.org whois peak.org robtex.com 非常适合分析网络。

Fedora Linux 不断向随机站点发出 DNS 请求

答案1

答案2

答案3

答案4

相关内容