надо помощь разобрать логи tcpdump

[comp_sale_67]

смотрю tcpdump и вижу оч много таких пакетов:

17:12:32.928714 IP 172.19.17.хх.34939 > unknown.eserver-ru.com.9002: Flags [.], ack 413146, win 1003, options [nop,nop,TS val 38408246 ecr 1210724862], length 0
17:12:32.928728 IP unknown.eserver-ru.com.9002 > 172.19.17.хх.34939: Flags [.], seq 413146:414494, ack 449, win 215, options [nop,nop,TS val 1210724862 ecr 38408230], length 1348
17:12:32.928739 IP 172.19.17.хх.34939 > unknown.eserver-ru.com.9002: Flags [.], ack 414494, win 983, options [nop,nop,TS val 38408246 ecr 1210724862], length 0
17:12:32.928745 IP unknown.eserver-ru.com.9002 > 172.19.17.хх.34939: Flags [P.], seq 414494:414702, ack 449, win 215, options [nop,nop,TS val 1210724862 ecr 38408230], length 208
17:12:32.928755 IP 172.19.17.хх.34939 > unknown.eserver-ru.com.9002: Flags [.], ack 414702, win 980, options [nop,nop,TS val 38408246 ecr 1210724862], length 0

что это может быть. вот уже часвкуриваю немогу понять никак

адреса unknown.eserver-ru.com не существует

[FreemanNow]

адреса unknown.eserver-ru.com не существует

Зато домен второго уровня есть eserver-ru.com
и сайт у них тут http://www.eserver-ru.com/
Хостер это..

[3-ton]

держи

http://eserver-ru.com/

[comp_sale_67]

это понятно что хостер, немогу понять почему пакеты на него идут

[FreemanNow]

это понятно что хостер, немогу понять почему пакеты на него идут

как один из вариантов, ты подцепил какого-то виря, который ДДосит этого хостера..

чт

[FreemanNow]

comp_sale_67,
кстати, глянь у себя в хостах, не прописался случайно этот самый unknown.eserver-ru.com там ?

[comp_sale_67]

сейчас попробую авастом просканить. хотя врятли только поставил систему, настроил инет

[comp_sale_67]

comp_sale_67,
кстати, глянь у себя в хостах, не прописался случайно этот самый unknown.eserver-ru.com там ?

смотрел нет. так бы он резолвился бы

[FreemanNow]

comp_sale_67,
кстати, глянь у себя в хостах, не прописался случайно этот самый unknown.eserver-ru.com там ?

смотрел нет. так бы он резолвился бы

так похоже, что он и резолвится, раз в логах символическое имя, а не айпишник..

[comp_sale_67]

пересядем в аську?

[BORNDEAD]

а самое интересное что этот домен ещё чета отдает, однозначно смотреть локально куда резолвица

[Георгий]

смотрю tcpdump и вижу оч много таких пакетов:

адреса unknown.eserver-ru.com не существует

запусти tcpdump -n чтобы не ресолвилось
unknown.eserver-ru.com может не быть в A-записях, но ведь tcpdump это имя достает через PTR, а там оно может быть прописано (и вероятно прописано раз ресолвится).
Вообще лучше всегда с -n запускать, т.к. на ресолв уходит время и tcpdump может на каждый пакет к новому IP-адресу подтормаживать пока не разресолвит имя.

[comp_sale_67]

запускал уже, нету записей тогда с 9002 портом =)

[Георгий]

запускал уже, нету записей тогда с 9002 портом =)

открой две ssh-консоли
в одной запусти без -n
в другой с -n

[comp_sale_67]

делал так, когда c -n запускаю тогда этих записей не видно, бред какойто вообщем

[Георгий]

делал так, когда c -n запускаю тогда этих записей не видно, бред какойто вообщем

ну точно бред
если без -n они есть, то тот факт, что дополнительно к этому запускаешь с -n не должен влиять на то что они исчезают, ведь первый процесс продолжает ресолвить, а второй - нет.
Остается только сопоставить оба вывода и понять что это за адрес.

[comp_sale_67]

вот запуская 2 консоли в одной видны эти пакеты а tcpdump -n не видит их просто :)

пошел убивацца ап стенку

[Георгий]

вот запуская 2 консоли в одной видны эти пакеты а tcpdump -n не видит их просто :)

пошел убивацца ап стенку

покажи командную строку как запускаешь и вывод из обеих консолей
не может такого быть чтобы в одной были пакеты, а в другой в этот же момент времени не было