0x00 UDP paket při každém DNS z localhostu

0x00 UDP paket při každém DNS z localhostu
« kdy: 27. 04. 2024, 12:45:47 »
Při každém DNS dotazu z stroje samotného(ze sítě se to neděje)  se mi na/z loopback vyšle paket o payloadu 0x00 s pokaždé jiným portem(ale src a dst se rovnají). čím to?
Kód: [Vybrat]
tcpdump -i lo udp
IP 127.0.0.1.54975 > 127.0.0.1.54975: UDP, length 1
        0x0000:  45b8 001d d31d 4000 4011 68f8 7f00 0001  E.....@.@.h.....
        0x0010:  7f00 0001 d6bf d6bf 0009 fe1c 00         .............

conntrack -L #(pozdější dotaz - jiný port)
TENTO:
udp      17 26 src=127.0.0.1 dst=127.0.0.1 sport=54975 dport=54975 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=54975 dport=54975 mark=0 use=1
#Toto jsou legitimní:
#dnsmasq:
udp      17 26 src=127.0.0.1 dst=127.0.0.1 sport=47144 dport=53 src=127.0.0.1 dst=127.0.0.1 sport=53 dport=47144 mark=0 use=1

sudo ss -l4unp | grep 53

UNCONN   0         0                  127.0.0.1:53               0.0.0.0:*       users:(("dnsmasq",pid=24051,fd=8))
UNCONN   0         0              192.168.1.208:53               0.0.0.0:*       users:(("dnsmasq",pid=24051,fd=6))


 cat /etc/resolv.conf
127.0.0.1


ss- 4u nic nevypíše s daným portem

Kód: [Vybrat]
iptables -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  172.17.0.0/16        0.0.0.0/0 / in * out !docker0
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0            random-fully / in * out eth1

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain DOCKER (2 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0 / in docker0 out *


Navíc,: Dá se zjistit jaký proces odesílá UDP pakety (na lokálním stroji)
« Poslední změna: 27. 04. 2024, 12:49:06 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »


RDa

  • *****
  • 2 779
    • Zobrazit profil
    • E-mail
Re:0x00 UDP paket při každém DNS z localhostu
« Odpověď #1 kdy: 27. 04. 2024, 14:50:22 »
Jasne ze se da zjistit jaky to je proces, a to nekolika ruznymi zpusoby.

Re:0x00 UDP paket při každém DNS z localhostu
« Odpověď #2 kdy: 04. 05. 2024, 00:02:34 »
Ach jo. Mám podobný problém, myslel jsem že se o něm něco dozvím. Dozvěděl jsem se akorát že RDa ví ale neřekne.

Re:0x00 UDP paket při každém DNS z localhostu
« Odpověď #3 kdy: 05. 05. 2024, 13:11:05 »
A to jsem se snažil

pk0

Re:0x00 UDP paket při každém DNS z localhostu
« Odpověď #4 kdy: 05. 05. 2024, 13:53:50 »
zkusil bych to chytit pomocí Auditd.

Kód: [Vybrat]
auditctl -a exit,always -F arch=b64 -F a0=2 -F a1\&=2 -S socket -k socket
auditctl -a exit,always -F arch=b32 -F a0=2 -F a1\&=2 -S socket -k socket

Poté použít ausearch pro vyhledání či hledat přímo v logu:

Kód: [Vybrat]
ausearch -i -k socket


Re:0x00 UDP paket při každém DNS z localhostu
« Odpověď #5 kdy: 05. 05. 2024, 15:44:52 »
Ħαℓ₸℮ℵ ␏⫢ ⦚ to bude zasa nejaka vykuchana aplikacia ktorej si povypinal JS (alebo bohvie co dalsie) a ktora ani nevie spravne fungovat (preto tie prazdne payloady).
Ono sa neni comu divis, ked povypinas uplne vsetko (narovinu povedane to proste doku*vys) az za hranicu funkcnosti. Pre teba jedine pouzitelne medium budu tlacene noviny.

Re:0x00 UDP paket při každém DNS z localhostu
« Odpověď #6 kdy: 07. 05. 2024, 15:55:11 »
Mám řečnickou otázku, jaký DNS server nebo klient v javascriptu máš na mysli?
PS: auditearch a audictl nemám a slyším o nich prvně