¿Cómo puedo encontrar la fuente del tráfico de red desde un host específico?

Navega tus respuestas
0

Mi firewall identifica una cantidad inusual de tráfico a 8.8.4.4 desde el host 192.168.76.22 (un servidor Mac OS X). Dentro de ese servidor, las conexiones de red se definen con un DNS primario que apunta al servidor DNS de mi ISP y la dirección secundaria que apunta al DNS público de Google en 8.8.8.8. Ninguna de las configuraciones en este sistema ha sido configurada para usar 8.8.4.4.

Otra publicación en Forensics - rastrear el origen de la consulta DNS en ¿host? sugiere que podría tener que cambiar la resolución para encontrar los procesos culpables.

He comprobado una pregunta similar para asistencia, pero no encontró respuestas útiles para verificar la fuente. Ejecuté netstat y no identifiqué ninguna comunicación a 8.8.4.4 listada en la salida.

Me pregunto:

1) Si hay un registro del sistema que me permita identificar la información necesaria

2) Si hay un método más fácil que reemplazar el sistema de resolución de DNS del sistema

3) Cómo reemplazar la resolución (si es absolutamente necesario)

Información del sistema:

SO: Mac OS X 10.10.5

Versión de la aplicación del servidor: 5.0.3

Cortafuegos: Watchguard XTM 505

    
pregunta Jared Clemence 21.09.2015 - 22:47
fuente

2 respuestas

1

@schroeder y @Brett Littrell proporcionaron la sugerencia más útil. Me sugirieron que ejecutara una captura de paquetes en la máquina host.

  1. Ejecuté la captura usando WireShark y aprendí los nombres que se estaban consultando.
  2. Los nombres de los dominios sugirieron que los paquetes se estaban reenviando desde el servidor DNS que se ejecuta en el host.
  3. Repetí mi inspección de la Configuración de red en el panel de Configuración de red y la configuración del Servidor para el DNS y descubrí que había cometido un error y pasé por alto el dominio 8.8.4.4 en las direcciones de reenvío permitidas.
  4. La eliminación de la entrada en la aplicación del servidor detuvo el tráfico no deseado.

Sabiendo ahora que el tráfico proviene de un programa legítimo que realiza las operaciones adecuadas, puedo cambiar de forma segura la configuración del firewall para permitir un tráfico más frecuente desde el host afectado a los servidores de reenvío de DNS sin preocuparme por el efecto en la seguridad del sistema.

    
respondido por el Jared Clemence 23.09.2015 - 00:18
fuente
0

Suponiendo que el tráfico en realidad proviene de 192.168.76.22 (una captura de paquetes en el host es una forma fácil de confirmar), sospecharía que un programa allí está codificado para solicitar 8.8.4.4 para la resolución de DNS. Si no es la resolución de DNS del sistema (¡verifique!), No veo cómo cambiar el DNS del sistema cambiará / solucionará el problema.

Necesitarías monitorear los programas en ejecución cuando esté sucediendo. El panel de red del Activity Monitor podría ser un punto de partida básico.

    
respondido por el Ángel 22.09.2015 - 02:06
fuente

Lea otras preguntas en las etiquetas

Cambiando remitentes, mismos mensajes de spam Analizar ejecutable de Windows