LINUX.ORG.RU
ФорумDesktop

konqueror делает НЕОПРАВДАННЫЕ dns-запросы — зачем и почему?


0

2

konqueror был запущен специально для чтения манов (т.е. интернет-страничек я им не открывал)

и вот внезапно: 

# netstat -panA inet
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

......

udp        0      0 10.xxx.yyy.zzz:34875    217.74.244.3:53         ESTABLISHED 11008/konqueror 
udp        0      0 10.xxx.yyy.zzz:36291    217.74.244.2:53         ESTABLISHED 11008/konqueror 
udp        0      0 10.xxx.yyy.zzz:56908    217.74.244.2:53         ESTABLISHED 11008/konqueror 
udp        0      0 10.xxx.yyy.zzz:57821    217.74.244.2:53         ESTABLISHED 11008/konqueror 
udp        0      0 10.xxx.yyy.zzz:34144    217.74.244.3:53         ESTABLISHED 11008/konqueror 
udp        0      0 10.xxx.yyy.zzz:55660    217.74.244.3:53         ESTABLISHED 11008/konqueror 
udp        0      0 10.xxx.yyy.zzz:39719    217.74.244.2:53         ESTABLISHED 11008/konqueror 

через секунду-две (или наоборот, за 1-2 сек до этого?):

udp        0      0 10.xxx.yyy.zzz:34875    217.74.244.3:53         ESTABLISHED 11008/konqueror 
udp     1752      0 10.xxx.yyy.zzz:36291    217.74.244.2:53         ESTABLISHED 11008/konqueror 
udp     1752      0 10.xxx.yyy.zzz:56908    217.74.244.2:53         ESTABLISHED 11008/konqueror 
udp     1752      0 10.xxx.yyy.zzz:57821    217.74.244.2:53         ESTABLISHED 11008/konqueror 
udp        0      0 10.xxx.yyy.zzz:34144    217.74.244.3:53         ESTABLISHED 11008/konqueror 
udp        0      0 10.xxx.yyy.zzz:55660    217.74.244.3:53         ESTABLISHED 11008/konqueror 
udp        0      0 10.xxx.yyy.zzz:54951    217.74.244.3:53         ESTABLISHED 11008/konqueror 
udp     1752      0 10.xxx.yyy.zzz:39719    217.74.244.2:53         ESTABLISHED 11008/konqueror

что *это* такое?

з.ы. 

$ cat /etc/resolv.conf
nameserver 217.74.244.2
nameserver 217.74.244.3
$ cat /etc/debian_version 
6.0.6

з.ы.ы. он и сейчас запущен

з.ы.ы.ы. поставил 

tcpdump -n -i ppp0 -s 65535 -x > /var/log/tcpdump2013-01-01
днем можно будет выяснить, куда это он лезет, если явление повторится

похоже, он раз в 13 минут куда-то лезет по днс; вот последние 2 шт:

02:33:31.124290 IP 10.xxx.yyy.zzz.50471 > 217.74.244.2.53: 959+ A? foo.com. (25)
02:33:31.324282 IP 10.xxx.yyy.zzz.57910 > 217.74.244.2.53: 43367+ A? www.foo.com. (29)
02:33:31.524225 IP 10.xxx.yyy.zzz.53499 > 217.74.244.2.53: 65136+ A? ftp.foo.com. (29)
02:33:31.724252 IP 10.xxx.yyy.zzz.57467 > 217.74.244.2.53: 60086+ A? www.gedanken.demon.co.uk. (42)
02:33:35.417564 IP 217.74.244.2.53 > 10.xxx.yyy.zzz.50471: 959 2/0/0 A 23.21.179.138, A 23.21.224.150 (57)
02:33:35.444797 IP 217.74.244.2.53 > 10.xxx.yyy.zzz.57910: 43367 3/0/0 CNAME digilb-910541646.us-east-1.elb.amazonaws.com., A 50.16.196.223, A 54.243.40.27 (116)
02:33:35.444810 IP 217.74.244.2.53 > 10.xxx.yyy.zzz.53499: 65136 2/0/0 A 23.21.224.150, A 23.21.179.138 (61)
02:33:35.444813 IP 217.74.244.2.53 > 10.xxx.yyy.zzz.57467: 60086 3/0/0 CNAME service.homepages.demon.net., A 193.195.70.9, A 193.195.70.8 (115)
02:33:52.404237 IP 10.xxx.yyy.zzz.60078 > 217.74.244.2.53: 56901+ A? www.openbsd.org. (33)
02:33:57.408083 IP 10.xxx.yyy.zzz.34984 > 217.74.244.3.53: 56901+ A? www.openbsd.org. (33)
02:33:58.344062 IP 217.74.244.2.53 > 10.xxx.yyy.zzz.60078: 56901 1/0/0 A 129.128.5.194 (49)
02:34:01.668101 IP 217.74.244.3.53 > 10.xxx.yyy.zzz.34984: 56901 1/0/0 A 129.128.5.194 (49)
02:46:51.126306 IP 10.xxx.yyy.zzz.44776 > 217.74.244.2.53: 23994+ A? foo.com. (25)
02:46:51.326217 IP 10.xxx.yyy.zzz.33095 > 217.74.244.2.53: 35572+ A? www.foo.com. (29)
02:46:51.526339 IP 10.xxx.yyy.zzz.45060 > 217.74.244.2.53: 61167+ A? ftp.foo.com. (29)
02:46:51.584066 IP 217.74.244.2.53 > 10.xxx.yyy.zzz.44776: 23994 2/0/0 A 23.21.224.150, A 23.21.179.138 (57)
02:46:51.726196 IP 10.xxx.yyy.zzz.58430 > 217.74.244.2.53: 3472+ A? www.gedanken.demon.co.uk. (42)
02:46:51.797566 IP 217.74.244.2.53 > 10.xxx.yyy.zzz.33095: 35572 3/0/0 CNAME digilb-910541646.us-east-1.elb.amazonaws.com., A 54.243.40.27, A 50.16.196.223 (116)
02:46:52.084564 IP 217.74.244.2.53 > 10.xxx.yyy.zzz.45060: 61167 2/0/0 A 23.21.179.138, A 23.21.224.150 (61)
02:46:52.244065 IP 217.74.244.2.53 > 10.xxx.yyy.zzz.58430: 3472 3/0/0 CNAME service.homepages.demon.net., A 193.195.70.9, A 193.195.70.8 (115)
02:47:12.406127 IP 10.xxx.yyy.zzz.58682 > 217.74.244.2.53: 16966+ A? www.openbsd.org. (33)
02:47:12.636068 IP 217.74.244.2.53 > 10.xxx.yyy.zzz.58682: 16966 1/0/0 A 129.128.5.194 (49)

кое-какие адреса взяты из отрытых мной страничек man-а, т.е. да, там есть эти ссылки на http://foo.com/, на мыло@gedanken.demon.co.uk — но епрст, я не пытался на них кликать — это ж очевидно; ну и нафига лезть в днс за этими адресами?

★★★★★

Последнее исправление: www_linux_org_ru (всего исправлений: 3)
Отдельный X сервер и pulseaudio
Переключение раскладки

Не могу сказать, как в других браузерах,
а в qupzilla в настройках, в разделе
«просмотр веб страниц», есть пункт
«Позволять предварительное получение DNS».

ABW ★★★★★
()
Ответ на: комментарий от anonymous 
Переводчики:
Heimen Stoffels
Peter Vacula
Jonathan Hooverman
Federico Fabiani
Francesco Marinucci
Jorge Sevilla
Ștefan Comănescu
Michał Szymanowski
Mariusz Fik
Jérôme Giry
Nicolas Ourceau
Vasilis Tsivikis
Rustam Salakhutdinov
Oleg Brezhnev
Sérgio Marques
Alexandre Carvalho
Mladen Pejaković
Unink-Lio
Wu Cheng-Hong
Widya Walesa
Beqa Arabuli
Daiki Noda
Gábor Oberle
Piccoro McKay Lenz
Stanislav Kuznietsov
Seyyed Razi Alavizadeh
ABW ★★★★★
()
Ответ на: комментарий от anonymous

а ты, анонимус, как предлагаешь переводить? там скорее всего слово «resolve», и переводить его словом «разрешать» довольно стремно, т.к. по-русски «разрешать» значит еще и «позволять»

www_linux_org_ru ★★★★★
() автор топика
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от ABW

и вообще годная мысль, как нарушать прайваси:

1. опубликовал на чужом сайте, скажем на лор-е, среди прочего, незаметную ссылку на http://ijlqwqwvscyasmask.example.com

2. логируешь днс-запросы к твоему днс-серверу, обслуживающему example.com

3. незаметно видишь, кто и когда читает твой пост на неконтролируемом тобой ресурсе (скажем, лор-е)

4. PROFIT!

(а если еще и научиться ява-скриптом создавать такие ссылки, так вообще можно куки воровать)

www_linux_org_ru ★★★★★
() автор топика
Последнее исправление: www_linux_org_ru (всего исправлений: 2)
Ответ на: комментарий от Chaser_Andrey

а никто и не обещал, что ява-скрипт заюзать на чужом сайте будет просто

www_linux_org_ru ★★★★★
() автор топика 
IP 217.74.244.3 
Хост ns4.kubangsm.ru 
Код страны RU 
Страна  Russian Federation 
Код региона 38 
Регион Krasnodar 
Город Kuban 
 Широта 45.3547 
Долгота 40.4111 
Почтовый код н/д 
Код района н/д 
Провайдер Kuban-gsm local registry 
Домен kubangsm.ru  
Часовой пояс UTC +03:00
anonymous
()
Ответ на: комментарий от www_linux_org_ru

незаметно видишь, кто и когда читает твой пост на
неконтролируемом тобой ресурсе

ахтунг! галактего в опасносте! хацкиры среди нас! но это ж будет работать только если бравзер самодеятельностью сам занимаецца?

mumpster ★★★★★
()
Ответ на: комментарий от anonymous

гы. гы. гы. — Город Kuban

кстати, ожидаемо

еще даже скажу — это неймсервер мобильного интернета mts, и афайк город тут определить невозможно

теперь, если делать нечего, определи, какие страницы мана я открыл в конке

www_linux_org_ru ★★★★★
() автор топика
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от mumpster

но это ж будет работать только если бравзер самодеятельностью сам занимаецца?

да, афайк

еще добавлю — я не специалист по безопасности, а просто у меня приступ паранойи возникло желание to harden my desktop

www_linux_org_ru ★★★★★
() автор топика
Ответ на: комментарий от www_linux_org_ru

Для начала браузер нужно запускать _как минимум_ из-под отдельного пользователя и не давать ему никаких прав. При этом проверить, что на /home/yourusername не стоят права o=rwx.
Лучше браузер поместить в отдельный контейнер (openvz, lxc) или даже виртуалку (virtualbox, xen, kvm) и делать X11 forwarding через ssh, чтобы запускать у себя на десктопе.
Это к тому, как to harden desktop.

getup
()
Ответ на: комментарий от getup

Это к тому, как to harden desktop.

я думаю есть смысл создать на это отдельную тему; я до сих пор ее не создал, т.к. пока что не прочитал все что нашел на эту тему

а еще я не знаю возможностей современных виртуалок

www_linux_org_ru ★★★★★
() автор топика
Ответ на: комментарий от getup

X11 forwarding

а что почитать насчет X security? ведь, вроде бы, взломанный броузер может спокойно заниматься подсматриванием keystrokes и прочего; если уже запускать его секурно, так через nested X, не?

www_linux_org_ru ★★★★★
() автор топика
Ответ на: комментарий от Deleted

Ну да сидишь поди в сочах.

ну так ты это определил не исходя из 217.74.244.2

да и дезинформацию, кстати, никто не отменял ;-)

www_linux_org_ru ★★★★★
() автор топика
Ответ на: комментарий от www_linux_org_ru

да и дезинформацию, кстати, никто не отменял ;-)

тупая статистика: понаехаловом в нашем крае просто больше негде быть кроме как в сочах - там стройка а местных спецов просто нет. it там тоже нужны в больших кол-вах (а то имеющиеся там рожают такие хрени Открытые протоколы на гос службе, или отчего я нелюблю XML. ).

Deleted
()
Ответ на: комментарий от Deleted

а то имеющиеся там рожают такие хрени Открытые протоколы на гос службе, или отчего я нелюблю XML.

гы, не заметил этот шедевр

но все равно это не может затмить того говнософта, который сделали в сбербанке — я уже писал, что этот говнософт умудрялся мне показывать такое количество денег, которого *никогда* не было у меня на счете

притом это года через 2-3 после того, как они пытались брать ежемесячную плату за свой сбербанк онлайн, и затем отказались

www_linux_org_ru ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Отдельный X сервер и pulseaudio
Desktop
Переключение раскладки