Hej,

trafiłem na wiresharku na dziwne zapytania DNS, (losowe_znaki).domena.pl. Jak wyśledzić szajs który to nadaje? Rzecz odbywa się na ubuntu.

nstat nie pomógł chyba że używałem złych parametrów ale nie sądzę. Wysyła to normalnie na port 53, a źródło na losowych portach.

Może ktoś zna jakieś zabezpieczenie które wyłapuje takie śmieci na Linuxie?

sudo netstat -tulpn -> powinno pokazać PID i nazwę programu.
Może masz zainstalowany pakiet bind9 (DNS Server), który sobie działa na porcie 53.

I bind9 mógłby się tak zachowywać? (w sensie odpytywać inne serwery DNS, o nazwy które nie istnieją)

Przykład takiego zapytania: “afsaujfsdnfufsd.dobreprogramy.pl”

Może o kod dobry programów generuje dziwne zapytania?

A coś się znajduje pod tymi domenami?

Nie, coś po prostu wysyła zapytania dns, do serwera DNS. Są to śmieciowe zapytania. Wysyła ich kilka co kilkanaście sekund.

Nie bo akurat tutaj dałem taki przykład. W środowisku w którym to zaobserwowałem odbywało się to, do innej domeny.