Fórum Root.cz

Ostatní => /dev/null => Téma založeno: Ħαℓ₸℮ℵ ␏⫢ ⦚ 27. 04. 2024, 12:45:47

Název: 0x00 UDP paket při každém DNS z localhostu
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 27. 04. 2024, 12:45:47

Při každém DNS dotazu z stroje samotného(ze sítě se to neděje)  se mi na/z loopback vyšle paket o payloadu 0x00 s pokaždé jiným portem(ale src a dst se rovnají). čím to?

Kód: [Vybrat]

tcpdump -i lo udp
IP 127.0.0.1.54975 > 127.0.0.1.54975: UDP, length 1
        0x0000:  45b8 001d d31d 4000 4011 68f8 7f00 0001  E.....@.@.h.....
        0x0010:  7f00 0001 d6bf d6bf 0009 fe1c 00         .............

conntrack -L #(pozdější dotaz - jiný port)
TENTO:
udp      17 26 src=127.0.0.1 dst=127.0.0.1 sport=54975 dport=54975 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=54975 dport=54975 mark=0 use=1
#Toto jsou legitimní:
#dnsmasq:
udp      17 26 src=127.0.0.1 dst=127.0.0.1 sport=47144 dport=53 src=127.0.0.1 dst=127.0.0.1 sport=53 dport=47144 mark=0 use=1

sudo ss -l4unp | grep 53

UNCONN   0         0                  127.0.0.1:53               0.0.0.0:*       users:(("dnsmasq",pid=24051,fd=8))
UNCONN   0         0              192.168.1.208:53               0.0.0.0:*       users:(("dnsmasq",pid=24051,fd=6))


 cat /etc/resolv.conf
127.0.0.1


ss- 4u nic nevypíše s daným portem

Kód: [Vybrat]

iptables -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  172.17.0.0/16        0.0.0.0/0 / in * out !docker0
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0            random-fully / in * out eth1

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain DOCKER (2 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0 / in docker0 out *

Navíc,: Dá se zjistit jaký proces odesílá UDP pakety (na lokálním stroji)

Název: Re:0x00 UDP paket při každém DNS z localhostu
Přispěvatel: RDa 27. 04. 2024, 14:50:22

Jasne ze se da zjistit jaky to je proces, a to nekolika ruznymi zpusoby.

Název: Re:0x00 UDP paket při každém DNS z localhostu
Přispěvatel: stemar 04. 05. 2024, 00:02:34

Ach jo. Mám podobný problém, myslel jsem že se o něm něco dozvím. Dozvěděl jsem se akorát že RDa ví ale neřekne.

Název: Re:0x00 UDP paket při každém DNS z localhostu
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 05. 05. 2024, 13:11:05

A to jsem se snažil

Název: Re:0x00 UDP paket při každém DNS z localhostu
Přispěvatel: pk0 05. 05. 2024, 13:53:50

zkusil bych to chytit pomocí Auditd.

Kód: [Vybrat]

auditctl -a exit,always -F arch=b64 -F a0=2 -F a1\&=2 -S socket -k socket
auditctl -a exit,always -F arch=b32 -F a0=2 -F a1\&=2 -S socket -k socket
Poté použít ausearch pro vyhledání či hledat přímo v logu:

Kód: [Vybrat]

ausearch -i -k socket

Název: Re:0x00 UDP paket při každém DNS z localhostu
Přispěvatel: kanoe22 05. 05. 2024, 15:44:52

Ħαℓ₸℮ℵ ␏⫢ ⦚ to bude zasa nejaka vykuchana aplikacia ktorej si povypinal JS (alebo bohvie co dalsie) a ktora ani nevie spravne fungovat (preto tie prazdne payloady).
Ono sa neni comu divis, ked povypinas uplne vsetko (narovinu povedane to proste doku*vys) az za hranicu funkcnosti. Pre teba jedine pouzitelne medium budu tlacene noviny.

Název: Re:0x00 UDP paket při každém DNS z localhostu
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 07. 05. 2024, 15:55:11

Mám řečnickou otázku, jaký DNS server nebo klient v javascriptu máš na mysli?
PS: auditearch a audictl nemám a slyším o nich prvně