Задача: На узле X сменили dns, но через некоторое время с него были обнаружены запросы на старый адрес. Банальный grep по /etc ничего не дал. Картина осложняется тем, что обращение идёт каждый час в конце часа, и каждый раз на несколько секунд позже (то есть, по видимому, процессы скоро начнут перекрывать друг друга), но в crontab тоже не найдено того что могло бы вызывать такое поведение. Нужно найти этот процесс.
Что применялось: Обнаружено с помощью tcpudmp, но он не показывает информацию о процессе. Использование lsof и netstat процесс не поймало по видимому потому что обращение короткое, а watch lsof и netstat -c -p имеют интервал не менее секунды (про последний не уверен но он тоже не поймал), что в данном случае видимо очень много. То есть необходимо непрерывное прослушивание, как у tcpdump.
Можно ли что нибудь здесь посоветовать? Встретил в данном контексте упоминание ettercap, пока читаю. Если здесь им пользуются и если он подходит для такой задачи то не подскажет ли кто как правильно его вызвать в данном случае?
.png)
