dns и трафик паразит

0

1

Доброго времени суток. Я работаю в небольшой компании, имеется локалка на 50 машин, шлюз dns, squid, iptables. Недавно решил помониторить dns трафик и увидел вот такую картину

Query Name                Count      %
--------------------- --------- ------
vkontakte.ru                 75   19.2
yandex.ru                    32    8.2
google.com                   23    5.9
odnoklassniki.ru             21    5.4
ya.ru                        18    4.6
com.ua                       12    3.1
mail.ru                      11    2.8
youtube.com                   6    1.5
ytimg.com                     5    1.3
twitter.com                   5    1.3
adriver.ru                    5    1.3
vk.com                        5    1.3
wpad.local                    4    1.0
yandex.net                    4    1.0
redtram.com                   3    0.8
dt00.net                      3    0.8
facebook.com                  3    0.8
wikipedia.org                 3    0.8
microsoft.com                 3    0.8
ietf.org                      3    0.8
isatap.local                  3    0.8
godaddy.com                   3    0.8
0.1                           3    0.8
gemius.pl                     3    0.8
fbcdn.net                     2    0.5
in.ua                         2    0.5
meta.ua                       2    0.5
bigmir.net                    2    0.5
snfdszfgzf.local              2    0.5
jzqdeulwfe.local              2    0.5
hworhbrpkx.local              2    0.5
24smile.org                   2    0.5
rambler.ru                    2    0.5
qip.ru                        2    0.5
modcos.com                    2    0.5
msftncsi.com                  2    0.5
feedburner.com                2    0.5
thematicmedia.ru              2    0.5
blogspot.com                  2    0.5
google.ru                     2    0.5
yadro.ru                      2    0.5
google-analytics.com          2    0.5
habrahabr.ru                  2    0.5
retracker.local               2    0.5
oetiker.ch                    2    0.5
informer.com                  2    0.5
lg.ua                         2    0.5
googleusercontent.com         2    0.5
tns-counter.ru                2    0.5
rutube.ru                     1    0.3
vkontaktike.com               1    0.3
prime-tass.ru                 1    0.3
org.ua                        1    0.3
kp.ru                         1    0.3
ain.ua                        1    0.3
mixstatus.com                 1    0.3
facebook.net                  1    0.3
odplus.ru                     1    0.3

Статистика примерно 3 минутного мониторинга. За социальные сети понятно, но вот все остальное скорее всего вирусы. Лечить каждого клиента пока что нет времени. Как бы зарезать трафик так, что бы dns не работал в пустую?

Ссылка

←	ejabberd ldap shared roster vcard

Задача реализации сети в KVM

→

>За социальные сети понятно, но вот все остальное скорее всего вирусы

что именно?

beka ★
(14.10.11 11:32:20 MSK)

Ответ на: комментарий от beka 14.10.11 11:32:20 MSK

vkontaktike.com к примеру

riso ★
(14.10.11 11:35:45 MSK) автор топика

>но вот все остальное скорее всего вирусы

Большая часть - рекламные домены

devl547 ★★★★★
(14.10.11 11:37:33 MSK)

Ответ на: комментарий от devl547 14.10.11 11:37:33 MSK

>retracker.local 2 0.5

У вас и торрентом пользоваться можно?

devl547 ★★★★★
(14.10.11 11:38:21 MSK)

Ответ на: комментарий от devl547 14.10.11 11:38:21 MSK

некоторым да. Ну вот на счет рекламных доменов, запросы то рассылает вирус, я правильно думаю ?

riso ★
(14.10.11 11:40:29 MSK) автор топика

Ответ на: комментарий от devl547 14.10.11 11:37:33 MSK

snfdszfgzf.local

такое встречал, на рекламные не похожи. WTF?

uspen ★★★★★
(14.10.11 11:40:59 MSK)

Ответ на: комментарий от riso 14.10.11 11:40:29 MSK

рекламные домены от банеров и пр. /К.О.

uspen ★★★★★
(14.10.11 11:41:30 MSK)

Ссылка

Ответ на: комментарий от uspen 14.10.11 11:40:59 MSK

В большинстве случаев от завирусованных клиентов идет шквал DNS запросов различных типов, огромное количество MX запросов направленных на поиск ip адресов почтовых серверов, запросы типа A для экзотических доменов типа kljhajlhfqweqwe.com или ioweurtisdvfso.org. (с)

riso ★
(14.10.11 11:43:24 MSK) автор топика

Ссылка

>что бы dns не работал в пустую

Вы экономите трафик или процессорное время ? К чему эти извраты ?

pr0mille ★
(14.10.11 11:47:10 MSK)

Ответ на: комментарий от pr0mille 14.10.11 11:47:10 MSK

мне не жалко ни того ни другого, просто я понимаю, что этого трафика не должно быть, нужно что-то сделать.

riso ★
(14.10.11 11:51:22 MSK) автор топика

Ответ на: комментарий от riso 14.10.11 11:51:22 MSK

если проксируете трафик, повырезайте все лишнее в squid и этих запросов станет меньше.

pr0mille ★
(14.10.11 11:57:01 MSK)

Ответ на: комментарий от pr0mille 14.10.11 11:57:01 MSK

ну и лечите компы,если там вирусы. Порезать dns в этом случае = закрыть глаза на проблему, но != решить ее

pr0mille ★
(14.10.11 11:59:17 MSK)

Ответ на: комментарий от pr0mille 14.10.11 11:57:01 MSK

запросы идут с локалки, на локальный dns т.е через прокси они не проходят.

riso ★
(14.10.11 11:59:54 MSK) автор топика

Ссылка

Ответ на: комментарий от pr0mille 14.10.11 11:59:17 MSK

лечение заплированно на ноябрь) ладно забью пока что.

riso ★
(14.10.11 12:00:51 MSK) автор топика

Ссылка

Ответ на: комментарий от riso 14.10.11 11:35:45 MSK

Это не вирус, скорее всего кто-то искал в гугле или яндексе что-нибудь про вконтакт и поисковая система направила его на этот сайт. (искали скорее всего как зарегаться в вконтакте).

Лично я не вижу следов вируса тут.

// а что за snfdszfgzf.local ? что он делает?

beka ★
(14.10.11 12:02:39 MSK)

зареж вконтактик и однокласников - трафик будет существенно зарезан )

x905 ★★★★★
(14.10.11 12:43:43 MSK)

Ответ на: комментарий от beka 14.10.11 12:02:39 MSK

без понятия у меня в зоне нет таких.

riso ★
(14.10.11 13:04:31 MSK) автор топика

Ссылка

Ответ на: комментарий от x905 14.10.11 12:43:43 MSK

я бы с радостью, но некоторые люди делают одолжения мне, а я им.

riso ★
(14.10.11 13:05:07 MSK) автор топика

Ссылка

Ответ на: комментарий от beka 14.10.11 12:02:39 MSK

// а что за snfdszfgzf.local ? что он делает?

mdns/avahi/bounjur

beastie ★★★★★
(14.10.11 13:19:31 MSK)

Ответ на: комментарий от beastie 14.10.11 13:19:31 MSK

спасибо, буду знать...

beka ★
(14.10.11 13:28:36 MSK)

Ответ на: комментарий от beka 14.10.11 13:28:36 MSK

Это просто реклама на сайтах.
Сейчас, когда заходишь на какой-нибудь более-менее раскрученный новостной портал и там миллион баннеров и рекламм, которые ведут на кучу левых сайтов. Это даже не вирусы.

BusTeR ★
(14.10.11 20:31:45 MSK)

Ссылка

riso, перекрыть

VKONTAKTE

87.240.128.0/18 # VKONTAKTE SPb Net by VKONTAKTE-NET-MNT
93.186.224.0/21 # VKONTAKTE SPb Net 1 by VKONTAKTE-NET-MNT
93.186.232.0/21 # VKONTAKTE SPb Net 2 by VKONTAKTE-NET-MNT
95.142.192.0/20 # VKONTAKTE Moscow Network by VKONTAKTE-NET-MNT

FACEBOOK

66.220.144.0/21 # Facebook route by FACEBOOK-MNT
66.220.152.0/21 # Facebook route by FACEBOOK-MNT
69.63.176.0/21 # Facebook route by FACEBOOK-MNT
69.63.184.0/21 # Facebook route by FACEBOOK-MNT
69.171.224.0/19
74.119.76.0/22 # Facebook route by FACEBOOK-MNT
204.15.20.0/22 # Facebook route by FACEBOOK-MNT
173.252.64.0/19
31.13.24.0/21

TWITTER

199.59.148.0/22
199.16.156.0/22

ADRIVER

81.176.235.160-81.176.235.175
81.222.128.0/24
188.127.243.184-188.127.243.191 
212.116.106.0/23

И так далее подсетями их подсетями...

~~adriano32~~ ★★★
(14.10.11 20:39:20 MSK)

Ссылка

Коту делать нечего - он яйца лижет.

vasilenko ★★
(14.10.11 20:42:02 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	ejabberd ldap shared roster vcard

Admin

Задача реализации сети в KVM

→

Похожие темы