Es ist doch nicht weg. Irgendetwas wählt sich alle 5 Minuten ein. Ich habe mal den rat von Alexandra Druecke befolgt und tcpdump laufen lassen. Das Ergebnis (Ausschnitt) habe ich mal beigefügt. Mit der manpage zu tcpdump bin ich nun ein wenig überfordert. Was kann ich damit anfangen? Wie schließe ich jetzt auf den Übeltäter? 1. Der Client (pauli) leitet die Einwahl ein: pauli:/home/karl # tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 22:24:28.143344 IP pauli.brandt.1130 > dns03.btx.dtag.de.domain: 61770+ PTR? 129.2.25.194.in-addr.arpa. (43) 22:24:33.148060 arp who-has fini.brandt tell pauli.brandt 22:24:33.148184 arp reply fini.brandt is-at 00:11:6b:35:55:f9 (oui Unknown) 22:24:33.152083 IP pauli.brandt.1130 > dns03.btx.dtag.de.domain: 61770+ PTR? 129.2.25.194.in-addr.arpa. (43) 2. Der Server (fini) reagiert wie "gewünscht": fini:~ # tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ippp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 22:24:18.317529 IP fini.brandt.1130 > dns03.btx.dtag.de.domain: 61770+ PTR? 129.2.25.194.in-addr.arpa. (43) 22:24:20.308795 IP fini.brandt.1130 > dns03.btx.dtag.de.domain: 61770+ PTR? 129.2.25.194.in-addr.arpa. (43) Für Hilfe auf immer und ewig dankbar Karl Brandt
Am Dienstag, 11. April 2006 22:45 schrieb Karl Brandt: ...
1. Der Client (pauli) leitet die Einwahl ein:
pauli:/home/karl # tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 22:24:28.143344 IP pauli.brandt.1130 > dns03.btx.dtag.de.domain: 61770+ PTR? 129.2.25.194.in-addr.arpa. (43)
Das heißt nichts anderes, als daß eine Anfrage an "dns03.btx.dtag.de" rausgeht, wobei nach dem Hostnamen zu der IP 194.25.2.129 abgefragt wird. Kurios daran ist, daß dns03.btx.dtag.de == 194.25.2.129 ist. Weiterhin interessant ist, daß scheinbar keine Antwort zurückkommt. ...
2. Der Server (fini) reagiert wie "gewünscht": ... Für diesen Rechner gilt das Gleiche.
Woher 'weiß' der Client eigentlich, welchen DNS er benutzen soll? Hast Du den in der resolv.conf eingetragen? Oder wird der Client per DHCP konfiguriert? Läuft ein bind auf dem Server? Vielleicht magst Du ja ein paar Worte dazu schreiben... hasta luego -- - Alexandra
participants (2)
-
Alexandra Druecke
-
Karl Brandt