Come faccio a trovare l'origine del traffico di rete da un host specifico?

0

Il mio firewall identifica una quantità insolita di traffico verso 8.8.4.4 dall'host 192.168.76.22 (un Mac OS X Server). All'interno di quel server, le connessioni di rete sono definite con un DNS primario che punta al server DNS del mio ISP e l'indirizzo secondario che punta al DNS pubblico di Google alla 8.8.8.8. Nessuna delle impostazioni in questo sistema è stata impostata per utilizzare 8.8.4.4.

Un altro post su Forensics - traccia l'origine della query DNS su host? suggerisce che potrei dover cambiare il resolver per trovare i processi colpevoli.

Ho controllato un domanda simile per assistenza, ma non ha trovato risposte utili in merito alla verifica dell'origine. Ho eseguito netstat e non ho identificato alcuna comunicazione a 8.8.4.4 elencata sull'output.

Mi chiedo:

1) Se esiste un registro di sistema che mi consente di identificare le informazioni necessarie

2) Se esiste un metodo più semplice rispetto alla sostituzione del resolver DNS del sistema

3) Come sostituire il resolver (se questo è assolutamente necessario)

Informazioni di sistema:

SO: Mac OS X 10.10.5

Versione dell'applicazione server: 5.0.3

Firewall: Watchguard XTM 505

    
posta Jared Clemence 21.09.2015 - 22:47
fonte

2 risposte

1

@schroeder e @Brett Littrell hanno fornito il suggerimento più utile. Mi hanno suggerito di eseguire un'acquisizione di pacchetti sulla macchina host.

  1. Ho eseguito l'acquisizione utilizzando WireShark e ho appreso i nomi interrogati.
  2. I nomi dei domini suggerivano che i pacchetti venivano inoltrati dal server DNS in esecuzione sull'host.
  3. Ho ripetuto l'ispezione delle impostazioni di rete nel pannello Impostazioni di rete e le impostazioni del server per il DNS e ho scoperto che avevo commesso un errore e ho trascurato il dominio 8.8.4.4 negli indirizzi di inoltro consentiti.
  4. La rimozione della voce nell'app Server ha interrotto il traffico indesiderato.

Sapendo che il traffico proviene da un programma legittimo che esegue le operazioni corrette, posso modificare in modo sicuro le impostazioni del firewall per consentire un traffico più frequente dall'host interessato ai server di inoltro DNS senza preoccuparsi degli effetti sulla sicurezza del sistema.

    
risposta data 23.09.2015 - 00:18
fonte
0

Supponendo che il traffico provenga effettivamente da 192.168.76.22 (un'acquisizione di pacchetti nell'host è davvero un modo semplice per confermare), sospetto che un programma non sia codificato per chiedere la risoluzione 8.8.4.4 per DNS. Se non si tratta del risolutore DNS del sistema (controllo!), Non vedo come ho cambiato il sistema che il DNS avrebbe cambiato / risolto il problema.

Dovresti monitorare i programmi in esecuzione quando ciò accade. Il pannello Rete del Monitoraggio attività potrebbe essere un punto di partenza di base.

    
risposta data 22.09.2015 - 02:06
fonte

Leggi altre domande sui tag