Всем привет!
Озадачился тут интересной ситуацией касательно «полтергейста» с ДНС запросами от Linux хоста. Постараюсь объяснить кратко и ёмко - есть Linux Debian Jessie:
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 8.3 (jessie)
Release: 8.3
Codename: jessie
# uname -a
Linux rep 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt20-1+deb8u2 (2016-01-02) x86_64 GNU/Linux
Живет этот линукс на KVM виртуалке. Всё, что установлено на этом хосте, было поставлено туда через apt-get/dpkg с официальных репозиториев. Инет этот хост видит строго через NAT, напрямую в Инет не торчит. ДНС сервер в /etc/resolv.conf прописан локальный, из той же сети что и хост (хост - 192.168.80.102, днс сервер - 192.168.80.101). Недавно, чисто случайно, включив полное логирование ДНС обращений на ДНС сервере 192.168.80.101 обратил внимание что хост 192.168.80.102 (тот самый про который идет речь) периодически пытается отрезолвить хосты google.com, security.debian.org, packages.debian.org и др. Выглядит это примерно вот так в логах unbound, который и является резолвером -
Mar 30 15:35:29 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 packages.debian.org. A IN
Mar 30 15:35:29 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 packages.debian.org. AAAA IN
Mar 30 15:35:29 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 ftp.us.debian.org. A IN
Mar 30 15:35:29 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 ftp.us.debian.org. AAAA IN
Mar 30 15:35:44 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 www.google.com. A IN
Mar 30 15:35:44 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 www.google.com. AAAA IN
Mar 30 15:35:44 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 www.google.nl. A IN
Mar 30 15:35:44 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 www.google.nl. AAAA IN
Mar 30 15:36:25 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 ftp.uk.debian.org. A IN
Mar 30 15:36:25 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 ftp.uk.debian.org. AAAA IN
Mar 30 15:36:41 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 security.debian.org. A IN
Mar 30 15:36:41 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 security.debian.org. AAAA IN
Mar 30 15:36:41 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 ftp.uk.debian.org. A IN
Mar 30 15:36:41 192.168.80.101 unbound: [6109:0] info: 192.168.80.102 ftp.uk.debian.org. AAAA IN
То же самое мне говорит и Suricata, которая настроена у меня в роли IDS в PASS-режиме и которая установлена на еще одной, соседней виртуалке, и видит весь трафик через «iptables TEE» для анализа.
Два дня я пытался выяснить - а что же это происходит на хосте, что пытается всё время резолвить google.com/.nl, а еще *.debian.*. Решил начать с *.debian.* - думал может какой скрипт через крон проверяет обновления. Но у меня используется локальный репозиторий и домены *.debian.* вообще нигде не фигурируют -
# grep -ri debian .
Binary file ./trusted.gpg.d/debian-archive-jessie-automatic.gpg matches
Binary file ./trusted.gpg.d/debian-archive-jessie-security-automatic.gpg matches
Binary file ./trusted.gpg.d/debian-archive-squeeze-stable.gpg matches
Binary file ./trusted.gpg.d/debian-archive-squeeze-automatic.gpg matches
Binary file ./trusted.gpg.d/debian-archive-wheezy-automatic.gpg matches
Binary file ./trusted.gpg.d/debian-archive-wheezy-stable.gpg matches
Binary file ./trusted.gpg.d/debian-archive-jessie-stable.gpg matches
#
На хосте стоит apt-mirror, но отключен в /etc/cron.d/apt-mirror.
Потом полез изучать кто же так усердно пытается отрезолвить google. Залез в /etc, сделал поиск, но и тут тишина -
# cd /etc/
root@rep:/etc# grep -ri google .
./grub.d/05_debian_theme:# Copyright (C) 2010 Alexander Kurtz <kurtz.alex@googlemail.com>
./mime.types:application/vnd.google-earth.kml+xml kml
./mime.types:application/vnd.google-earth.kmz kmz
./nginx/mime.types: application/vnd.google-earth.kml+xml kml;
./nginx/mime.types: application/vnd.google-earth.kmz kmz;
Дальше вообще отключил cron, но логи на ДНС сервере опять появляются.
В итоге получается что кто-то, или что-то шлет постоянно запросы на резолв одних и тех же доменов. При чем в системе ничего стороннего не запущено, крон вообще отключен, в настройках эти домены нигде не фигурируют. Откуда это всё берется? Как узнать источник запросов?
Я пошел дальше и поставил на хосте snoopy (логирует все запуски через execve в системе) - ничего не обнаружено. Поставил на роутере tcpdump, через который хост видит Инет - кроме ДНС запросов к локальному ДНС ничего больше не происходит, то есть траф больше никакой никуда не идет.
Также, в этой же локалке, поднята еще пачка схожих ВПСок на Debian Jessie со схожим конфигом - у них таких аномалий не замечено.
