Page 1 of 1
Wo könnten diese Pakete herkommen?
Posted: 2003-06-14 22:10
by mstuebner
Beim Durchsehen der Logs fiel mir unter anderem Einträge folgendem Typs auf:
Jun 14 21:55:46 p15134991 kernel: ipacct_unknown:IN= OUT=eth0 SRC=217.160.191.xxx DST=217.160.110.xxx LEN=68 TOS=0x00 PREC=0x00 TTL=6 ID=51027 PROTO=UDP SPT=64017 DPT=33451 LEN=48
Warum mich das verwundert ist: beides sind Rootserver meinerseits, die aber nichts voneinander wissen sollten. Was will der neue Server vom alten? Ã?hnliche sinnfreie ICMP und UDP sind auch zu wenigen anderen IPs, auch auf solch "wilde" Ports
Interpretiere ich SPT und DPT richtig, so sind dies Source- und Destinationport 64017 und 33451? Da läuft nichts (refused), was kann das sein?
Re: Wo könnten diese Pakete herkommen?
Posted: 2003-06-15 00:10
by [ djthesound ]
Hallo,
könnte Monitoringsoftware sein, oder noch Ã?berbleibsel auf der DNS-Konfiguration...
Gruss
Re: Wo könnten diese Pakete herkommen?
Posted: 2003-06-15 00:52
by captaincrunch
Interpretiere ich SPT und DPT richtig, so sind dies Source- und Destinationport 64017 und 33451? Da läuft nichts (refused), was kann das sein?
Das siehst du richtig. Um genauer sagen zu können was das soll, müsste man dein(e) System(e) näher kennen.
Re: Wo könnten diese Pakete herkommen?
Posted: 2003-06-15 10:15
by mstuebner
CaptainCrunch wrote: Interpretiere ich SPT und DPT richtig, so sind dies Source- und Destinationport 64017 und 33451? Da läuft nichts (refused), was kann das sein?
Das siehst du richtig. Um genauer sagen zu können was das soll, müsste man dein(e) System(e) näher kennen.
Das neue (von dem das Log ist) ist ein nagelneuer Rootserver PS mit nachinstalliertem Qmail und Bind 9. Alles aus frischen Sourcen, also nichts kopiert, sieht mal mal von den Zonefiles ab.
Monitoring läuft von dem Server hier zuhause, aber der kennt den neuen Server garnicht und ich wüsste auch nicht warum der demonitorte Server von sich aus antworten sollte.
Re: Wo könnten diese Pakete herkommen?
Posted: 2003-06-16 04:03
by alexander newald
Ich tippe auf einen überlasteten Switch.
Alexander Newald
Re: Wo könnten diese Pakete herkommen?
Posted: 2003-06-16 07:57
by nyxus
Alexander Newald wrote:Ich tippe auf einen überlasteten Switch.
sehr unwahrscheinlich. Der schickt ja im Normalfall keine gespooften Pakete an andere Rechner. Und das o.a. Paket war direkt gerichtet.
Re: Wo könnten diese Pakete herkommen?
Posted: 2003-06-16 14:46
by alexander newald
Hm, kam mir nur in den Sinn, da ich recht viele udp und icmp Packete habe, die nicht zu meinen Servern sollen (und auch teilweise Zusammenhängend sind, es als nicht zählt, dass der Switch erst schaut, an welchem Port der Server eigendlich hängt)
Alexander Newald
Re: Wo könnten diese Pakete herkommen?
Posted: 2003-06-16 15:32
by nyxus
wenn man Pakete für fremde Rechner bekommt ist es auch eine andere Situation als wenn man ein Paket für den eigenen Rechner bekommt.
Ersteres kann z.B. dadurch kommen, daß der Switch das Ziel nicht kennt (wenn der einfach nicht sendet), oder wenn der Switch aus anderen Gründen Frames flutet (Switch steht unter Atacke, ist überlastet (hier unwahrscheinlich) oder die Topologie wird neu berechnet (hier auch eher unwahrscheinlich)).