[GTER] Bind9 com tráfego estranho
Denilson Rocha
denilson_rocha at vertentes.com.br
Wed Sep 10 08:47:58 -03 2014
Prezados, bom dia!
Possuo dois servidores DNS com BIND9, e me deparei com um tráfego que
considero estranho... Há toneladas de conexões ativas como abaixo
(substituí o nome correto por ___servername___):
# netstat
tcp 0 56 ___servername___:43841 117.27.239.231:domain
ESPERA_FIN1
tcp 0 61 ___servername___:57356 117.27.239.231:domain
ESPERA_FIN1
tcp 0 54 ___servername___:56643 117.27.239.231:domain
ESPERA_FIN1
tcp 0 62 ___servername___:43859 117.27.239.231:domain
ESPERA_FIN1
tcp 0 52 ___servername___:41105 117.27.239.231:domain
ESPERA_FIN1
tcp 0 59 ___servername___:52948 117.27.239.231:domain
ESPERA_FIN1
tcp 0 47 ___servername___:43564 117.27.239.231:domain
ESTABELECIDA
tcp 0 60 ___servername___:35547gter at eng.registro.br
117.27.239.231:domain ESPERA_FIN1
tcp 0 52 ___servername___:37086 117.27.239.231:domain
ESPERA_FIN1
tcp 0 60 ___servername___:50299 117.27.239.231:domain
ESPERA_FIN1
tcp 0 61 ___servername___:50733 117.27.239.231:domain
ESPERA_FIN1
tcp 0 60 ___servername___:49954 117.27.239.231:domain
ESPERA_FIN1
tcp 0 54 ___servername___:56114 117.27.239.231:domain
ESPERA_FIN1
tcp 0 58 ___servername___:52498 117.27.239.231:domain
ESPERA_FIN1
tcp 0 60 ___servername___:51029 117.27.239.231:domain
ESPERA_FIN1
tcp 0 58 ___servername___:49157 117.27.239.231:domain
ESPERA_FIN1
tcp 0 49 ___servername___:53923 117.27.239.231:domain
ESTABELECIDA
tcp 0 54 ___servername___:43032 117.27.239.231:domain
ESPERA_FIN1
tcp 0 50 ___servername___:58786 117.27.239.231:domain
ESPERA_FIN1
tcp 0 60 ___servername___:58091 117.27.239.231:domain
ESPERA_FIN1
tcp 0 50 ___servername___:59829 117.27.239.231:domain
ESPERA_FIN1
tcp 0 55 ___servername___:45556 117.27.239.231:domain
ESTABELECIDA
tcp 0 49 ___servername___:39342 117.27.239.231:domain
ESTABELECIDA
tcp 0 62 ___servername___:36701 117.27.239.231:domain
ESPERA_FIN1
tcp 0 59 ___servername___:60671 117.27.239.231:domain
ESPERA_FIN1
tcp 0 58 ___servername___:56954 117.27.239.231:domain
ESPERA_FIN1
tcp 0 59 ___servername___:39270 117.27.239.231:domain
ESPERA_FIN1
tcp 0 50 ___servername___:53215 117.27.239.231:domain
ESPERA_FIN1
tcp 0 39 ___servername___:52409 117.27.239.231:domain
ESPERA_FIN1
tcp 0 49 ___servername___:51849 117.27.239.231:domain
ESPERA_FIN1
tcp 0 52 ___servername___:46896 117.27.239.231:domain
ESPERA_FIN1
tcp 0 54 ___servername___:56638 117.27.239.231:domain
ESPERA_FIN1
tcp 0 54 ___servername___:56632 117.27.239.231:domain
ESPERA_FIN1
tcp 0 54 ___servername___:34805 117.27.239.231:domain
ESPERA_FIN1
São originadas no meu servidor, com destino à porta 53 do servidor
remoto. O mais estranho são os detinos. Os destinos com mais conexões
são pertencentes aos blocos abaixo:
-------------------------------------------------------------------------------
inetnum: 58.208.0.0 - 58.223.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
-------------------------------------------------------------------------------
inetnum: 117.24.0.0 - 117.31.255.255
netname: CHINANET-FJ
descr: CHINANET Fujian province network
descr: China Telecom
descr: 7,East Street ,Fuzhou ,Fujian ,PRC
country: CN
-------------------------------------------------------------------------------
inetnum: 221.204.0.0 - 221.205.255.255
netname: UNICOM-SX
descr: China Unicom Shanxi Province Network
descr: China Unicom
country: CN
-------------------------------------------------------------------------------
inetnum: 222.160.0.0 - 222.163.255.255
netname: UNICOM-JL
descr: China Unicom Jilin province network
descr: China Unicom
country: CN
-------------------------------------------------------------------------------
inetnum: 222.184.0.0 - 222.191.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
-------------------------------------------------------------------------------
Existem ainda alguns destinos nos Estados Unidos, mas esses da China são
a imensa maioria...
Já viram este tipo de comportamento? Não acredito que seja normal...
Atenciosamente
Denilson Rocha
Vertentes Telecom
More information about the gter
mailing list