Gegenseitige Abfrage

sys_tech · Jun 22, 2011

Hallo zusammen

Ich erhalte seit einiger Zeit im Logfile eines Suse Linux DNS Servers folgende Meldung:

Alle par Sekunden folgt:

Code:

Jun 22 15:00:11 dnserver named[1300]: client 192.168.1.5#35263: RFC 1918 response from Internet for 6.1.168.192 .in-addr.arpa

abwechselnd mit:

Code:

Jun 22 15:00:11 dnserver named[1300]: client 192.168.1.6#35263: RFC 1918 response from Internet for 5.1.168.192 .in-addr.arpa

Der Client 192.168.1.5 und 192.168.1.6 sind ganz normale Server bei mir im Netz.
Es scheint als ob ständig diese beiden Server untereinander kommunizieren bzw. DNS Abfragen empfangen.

Was kann da der Grund sein?

Vielen liben dank und Grüsse

Fr33z3m4n · Jun 22, 2011

Laut Log scheinen das Nameserver zu sein

Jun 22 15:00:11 dnserver named[1300]:

sys_tech · Jun 22, 2011

Danke.

Ja stimmt das ist der Name Server, der die Meldung versendet. Die beiden 192er Server sind bestimmt keine Name Server.

Aus was für welchem Grund kommunizieren diese beiden ständig (im Sekundentakt) miteinander?
Wie könnte ich da das Problem eher herausfinden?

BEsten Dank und Grüsse

PapaBaer · Jun 22, 2011

Fr33z3m4n said:
Laut Log scheinen das Nameserver zu sein

Es sind die logs vom Nameserver, wer sollte auch sonst Namen auflösen?

Die Meldungen sagen nur an, dass sich der Nameserver wundert, warum er IP-Ranges, die nicht fürs Internet vorgesehen sind, ins Internet kommunizieren soll. Wenn du das alles privat im LAN machst, ist das bis hierhin kein Problem.

Warum sich 192.168.1.5 und 192.168.1.6 versuchen über DNS zu erreichen und auch einen Reverse-Lookup durchführen, kannst nur du allein wissen. Wenn dort aber Dienste laufen, die DNS nutzen, dann ist das Verhalten nicht ungewöhnlich, sondern gewollt. Vielleicht nen Mailserver? Oder nen Dienst, der gern FQDNs in seine Logs schreiben will?

mach doch auf deinen Clients ein

Code:

netstat -tulpen

, dann weißt du, wer da so gesprächig ist.

sys_tech · Jun 22, 2011

Besten Dank.

Mhh, ja also es ist ein Server, auf welchem Virtuelle Maschinen laufen.
Es ist ja schon ok, das die beiden miteinander kommunizieren; es ist einfach komisch, dass das fast sekündlich geschieht.

Wenn ich den Befehl ausführe erhalte folgende Ausgabe:

Auf dem 192.168.1.5

Code:

Proto Recv-Q Send-Q Local Address               Foreign Address             Stat                                                                             e       User       Inode      PID/Program name
tcp        0      0 127.0.0.1:12001             0.0.0.0:*                   LIST                                                                             EN      0          13010784   12997/vmware-hostd
tcp        0      0 127.0.0.1:5988              0.0.0.0:*                   LIST                                                                             EN      0          9289       3268/sfcbd
tcp        0      0 0.0.0.0:5989                0.0.0.0:*                   LIST                                                                             EN      0          9331       3266/sfcbd
tcp        0      0 0.0.0.0:902                 0.0.0.0:*                   LIST                                                                             EN      0          8577       2739/xinetd
tcp        0      0 0.0.0.0:903                 0.0.0.0:*                   LIST                                                                             EN      0          8578       2739/xinetd
tcp        0      0 192.168.1.5:427              0.0.0.0:*                   LIST                                                                             EN      0          7827       2616/slpd
tcp        0      0 127.0.0.1:427               0.0.0.0:*                   LIST                                                                             EN      0          7826       2616/slpd
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LIST                                                                             EN      0          13010790   12997/vmware-hostd
tcp        0      0 127.0.0.1:8307              0.0.0.0:*                   LIST                                                                             EN      0          13011209   12997/vmware-hostd
tcp        0      0 127.0.0.1:8309              0.0.0.0:*                   LIST                                                                             EN      0          13011208   12997/vmware-hostd
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LIST                                                                             EN      0          8047       2721/sshd
tcp        0      0 127.0.0.1:8889              0.0.0.0:*                   LIST                                                                             EN      0          7973       2681/openwsmand
tcp        0      0 0.0.0.0:443                 0.0.0.0:*                   LIST                                                                             EN      0          13010787   12997/vmware-hostd
udp        0      0 255.255.255.255:427         0.0.0.0:*                                                                                                            0          7830       2616/slpd
udp        0      0 192.168.1.5:427              0.0.0.0:*                                                                                                            0          7829       2616/slpd
udp        0      0 0.0.0.0:427                 0.0.0.0:*                                                                                                            0          7828       2616/slpd
udp        0      0 192.168.1.5:123              0.0.0.0:*                                                                                                            0          8144       2763/ntpd
udp        0      0 127.0.0.1:123               0.0.0.0:*                                                                                                            0          8143       2763/ntpd
udp        0      0 0.0.0.0:123                 0.0.0.0:*                                                                                                            0          8142       2763/ntpd

und hier der andere; 192.168.1.6

Code:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             Stat                                                                             e       User       Inode      PID/Program name
tcp        0      0 127.0.0.1:12001             0.0.0.0:*                   LIST                                                                             EN      0          11249      2960/vmware-hostd
tcp        0      0 127.0.0.1:5988              0.0.0.0:*                   LIST                                                                             EN      0          9388       3269/sfcbd
tcp        0      0 0.0.0.0:5989                0.0.0.0:*                   LIST                                                                             EN      0          9377       3267/sfcbd
tcp        0      0 0.0.0.0:902                 0.0.0.0:*                   LIST                                                                             EN      0          8578       2739/xinetd
tcp        0      0 0.0.0.0:903                 0.0.0.0:*                   LIST                                                                             EN      0          8579       2739/xinetd
tcp        0      192.168.1.6:427              0.0.0.0:*                   LIST                                                                             EN      0          7834       2616/slpd
tcp        0      0 127.0.0.1:427               0.0.0.0:*                   LIST                                                                             EN      0          7833       2616/slpd
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LIST                                                                             EN      0          11255      2960/vmware-hostd
tcp        0      0 127.0.0.1:8307              0.0.0.0:*                   LIST                                                                             EN      0          11504      2960/vmware-hostd
tcp        0      0 127.0.0.1:8309              0.0.0.0:*                   LIST                                                                             EN      0          11503      2960/vmware-hostd
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LIST                                                                             EN      0          8054       2721/sshd
tcp        0      0 127.0.0.1:8889              0.0.0.0:*                   LIST                                                                             EN      0          7998       2681/openwsmand
tcp        0      0 0.0.0.0:443                 0.0.0.0:*                   LIST                                                                             EN      0          11252      2960/vmware-hostd
udp        0      0 255.255.255.255:427         0.0.0.0:*                                                                                                            0          7837       2616/slpd
udp        0      192.168.1.6:427              0.0.0.0:*                                                                                                            0          7836       2616/slpd
udp        0      0 0.0.0.0:427                 0.0.0.0:*                                                                                                            0          7835       2616/slpd
udp        0      192.168.1.6:123              0.0.0.0:*                                                                                                            0          8151       2763/ntpd
udp        0      0 127.0.0.1:123               0.0.0.0:*                                                                                                            0          8150       2763/ntpd
udp        0      0 0.0.0.0:123                 0.0.0.0:*                                                                                                            0          8149       2763/ntpd

PapaBaer · Jun 22, 2011

Ach Mist, kurz nicht nachgedacht.

Code:

netstat -tupen

Interessant für dich sind Zeilen, wo 192.168.1.6 mit 192.168.1.5 verbunden ist bzw. umgekehrt.

sys_tech · Jun 22, 2011

Ok, da sehe ich folgendes;

1.6er Server:

Code:

Proto Recv-Q Send-Q Local Address               Foreign Address             Stat                                                                             e       User       Inode      PID/Program name
tcp        0      0 127.0.0.1:56790             127.0.0.1:5988              TIME                                                                             _WAIT   0          0          -
tcp        1      0 127.0.0.1:56791             127.0.0.1:5988              CLOS                                                                             E_WAIT  0          16244724   2960/vmware-hostd
tcp        0      0 127.0.0.1:56788             127.0.0.1:5988              TIME                                                                             _WAIT   0          0          -
tcp        0      0 127.0.0.1:56787             127.0.0.1:5988              TIME                                                                             _WAIT   0          0          -
tcp        0      0 127.0.0.1:5988              127.0.0.1:56791             FIN_                                                                             WAIT2   0          0          -
tcp        0    316 192.168.1.6:22               192.168.1.30:49843            ESTA                                                                             BLISHED 0          16244642   25185/0
tcp        0      0 192.168.1.6:22               192.168.1.35:35190            ESTA                                                                             BLISHED

wobei: 192.168.1.30 und 35 = ein normaler Windows Client XP / Win7 ist

Der 192.168.1.5er Server gibt aus:

Code:

Proto Recv-Q Send-Q Local Address               Foreign Address             Stat                                                                             e       User       Inode      PID/Program name
tcp        1      0 127.0.0.1:60659             127.0.0.1:5988              CLOS                                                                             E_WAIT  0          75559603   12997/vmware-hostd
tcp        0      0 127.0.0.1:49574             127.0.0.1:80                ESTA                                                                             BLISHED 0          13083107   13206/sfcbd
tcp        0      0 127.0.0.1:57939             127.0.0.1:8307              ESTA                                                                             BLISHED 0          75545402   12997/vmware-hostd
tcp        0      0 192.168.1.5:36668            192.168.1.6:22               TIME                                                                             _WAIT   0          0          -
tcp        0      192.168.1.5:36669            192.168.1.6:22               TIME                                                                             _WAIT   0          0          -
tcp        0      0 192.168.1.5:36670            192.168.1.6:22               TIME                                                                             _WAIT   0          0          -
tcp        0      0 192.168.1.5:36671            192.168.1.6:22               TIME                                                                             _WAIT   0          0          -
tcp        0    316 192.168.1.5:22               192.168.1.30:49859            ESTA                                                                             BLISHED 0          75560317   22949/0
tcp        0      0 127.0.0.1:80                127.0.0.1:49574             ESTA                                                                             BLISHED 0          13083108   12997/vmware-hostd
tcp        0      0 127.0.0.1:37229             127.0.0.1:443               ESTA                                                                             BLISHED 0          75558680   15517/perl
tcp        0      0 127.0.0.1:55521             127.0.0.1:8307              ESTA                                                                             BLISHED 0          75546671   12997/vmware-hostd
tcp        0      0 127.0.0.1:51413             127.0.0.1:5988              TIME                                                                             _WAIT   0          0          -
tcp        0      0 127.0.0.1:51412             127.0.0.1:5988              TIME                                                                             _WAIT   0          0          -
tcp        0      0 192.168.1.5:40284            192.168.1.35:22               ESTA                                                                             BLISHED 0          75546745   15520/ssh
tcp        0      0 127.0.0.1:8307              127.0.0.1:55521             ESTA                                                                             BLISHED 0          75546672   12997/vmware-hostd
tcp        0      0 192.168.1.5:22               192.168.1.30:57510            ESTA                                                                                                                                                    BLISHED 
0          13083110   12997/vmware-hostd
tcp        0      0 127.0.0.1:8307              127.0.0.1:34674             ESTA                                                                             BLISHED 0          75558684   12997/vmware-hostd
tcp        0      0 127.0.0.1:80                127.0.0.1:35288             ESTA                                                                             BLISHED 0          75545400   12997/vmware-hostd
tcp        0      0 127.0.0.1:35288             127.0.0.1:80                ESTA                                                                             BLISHED 0          75545399   13206/sfcbd
tcp        0      0 127.0.0.1:54127             127.0.0.1:443               ESTA                                                                             BLISHED 0          75546668   15517/perl
tcp        0      0 192.168.1.5:55709            192.168.1.35:22               TIME                                                                             _WAIT   0          0          -
tcp        0      0 127.0.0.1:443               127.0.0.1:37229             ESTA                                                                             BLISHED 0          75558681   12997/vmware-hostd
tcp        0      0 127.0.0.1:443               127.0.0.1:54127             ESTA                                                                             BLISHED 0          75546669   12997/vmware-hostd
tcp        0      0 127.0.0.1:8307              127.0.0.1:57939             ESTA                                                                             BLISHED 0          75545403   12997/vmware-hostd
tcp        0      0 127.0.0.1:34674             127.0.0.1:8307              ESTA                                                                             BLISHED 0          75558683   12997/vmware-hostd
tcp        0      0 127.0.0.1:8307              127.0.0.1:47967             ESTA                                                                             BLISHED 0          13083111   12997/vmware-hostd

PapaBaer · Jun 22, 2011

Code:

tcp        0      192.168.1.5:36669            192.168.1.6:22               TIME                                                                             _WAIT   0          0          -

Da laufen SSH-Verbindungen. Das sollte aber nicht sekündliche DNS-Anfragen erklären. Ist das einfach nur ne ssh-Session, mit der du im Moment auf einem der Server arbeitest? Oder wird da irgend etwas getunnelt?

sys_tech · Jun 22, 2011

Das sind SSH Verbindungen, ich verbinde mich damit auf den Server.
Mhh....es ist echt komisch, ich erhalte immer noch sekündlich DNS Anfragen;

gäbe es allenfalls noch eine weitere Möglichkeit das Problem evt. eeinzugrenze?

Vielen Dank und Gruss

PapaBaer · Jun 22, 2011

Ich würde weiter mit netstat suchen, z.B. kurz nachdem der DNS-Request raus geht.

Du könntest auch im /etc vom 192.168.1.5 nach dem FQDN und der IP von 192.168.1.6 greppen.

Code:

grep -r 192.168.1.6 /etc
grep -r FQDN_VON_192.168.1.6 /etc

dann wüsstest du, ob du das irgendwo so eingestellt hast.

sys_tech · Jun 23, 2011

Ok, also

grep -r 192.168.1.6 /etc

1.5 zu 1.6 er, sowie umgekehrt gibt das gleiche aus:

Code:

grep: /etc/vmware/webAccess/cache.properties: No such file or directory

und auch

grep -r FQDN_VON_192.168.1.6 /etc

gibt aus:

Code:

grep: /etc/vmware/webAccess/cache.properties: No such file or directory

Scheint nicht so, ob da etwas spezielles wäre oder?

Hat es evt. etwas mit dem Cache des webAccess zu tun?

Hab grad nochmal im Log geschaut, immer noch Meldungen im Sekundentakt...

Vielen lieben Dank und Grüsse,

PapaBaer · Jun 23, 2011

Hallo,

ich würde es irgendwie begrüßen, wenn du nicht einfach meine Code-Schnipsel in die Konsole tippst und dabei das eigene Mitdenken vergisst. Ich kann dir nur Hinweise geben, nicht dein Problem für dich lösen.

Code:

/etc/vmware/webAccess/cache.properties: No such file or directory

Das sollte doch klar sein, dass das nix miteinander zu tun hat.

Es ist dein Server. Du hast die Software installiert, die dort läuft. Also denke doch einfach mal drüber nach, was dort läuft und was da die Abfragen verursachen könnte.

Mit netstat kannst du dir anzeigen lassen, was im MOMENT (!!!) für Verbindungen offen sind.

Mit grep kannst du Datein durchsuchen. Damit findest du vielleicht eine Config, in der die entsprechende Einstellung für die DNS-Abfragen vorgenommen wurde. Wo du Configs liegen hast, weisst du allein. In /etc, oder unter /opt, oder wo auch immer du deine Dienste installiert hast.

Dann wären da noch ps und top, um dir anzeigen zu lassen, was überhaupt für Dienste laufen.

Wenn da VMware läuft, hast du auch noch Virtuelle Maschinen am Start, die in Frage kommen könnten.

Und wenn das alles nix hilft, gibt es Tools wie tcpdump oder ngrep, mit denen du dir den eigentlichen Traffic zwischen 192.168.1.5 und 192.168.1.6 ansehen kannst. Vielleicht gibt das mehr Aufschluss.

Jetzt hast du einen Werkzeugkasten. Mit dem kannst du suchen gehen.

sys_tech · Jun 23, 2011

Ok, super - Dann werde ich das nun mal machen.
Liebe Grüsse

Gegenseitige Abfrage

sys_tech

New Member

Fr33z3m4n

New Member

sys_tech

New Member

PapaBaer

Registered User

sys_tech

New Member

PapaBaer

Registered User

sys_tech

New Member

PapaBaer

Registered User

sys_tech

New Member

PapaBaer

Registered User

sys_tech

New Member

PapaBaer

Registered User

sys_tech

New Member

We value your privacy