LINUX.ORG.RU

openSUSE - Эхо DNS запросов

 ,


0

1

На openSUSE Tumbleweed запустил Wireshark. Все чисто. Запускаю YaST Software, закрываю. В процессах нет ни yast, ни zypper, ни package*, но Wireshark показывает, что кто-то (возможно NM) продолжает отправлять DNS запросы на зеркала SUSE. Причем, такое ощущение, что интенсивность этих запросов зависит от активности сети. Вроде уже все затихло, пинганешь 1.1.1.1 из терминала и через некоторое время опять пошли DNS запросы на сусе зеркала. Это именно DNS запросы, не TCP/UDP. Их нет на свежезагруженной системе, пока не запустишь YaST. Потом их не то чтобы много, но периодически отправляются.

Я думал такое эхо возникает не только у Яста (зеркал Суси). Запустил Firefox 74, там, конечно, тонны запросов сразу, несмотря на тюнинг about:config и отключение лишнего (Firefox давно стал трояном). Но это ладно. Закрываю Firefox (он стучит и при закрытии, кстати). Думаю, сейчас пойдут DNS запросы к серверам Мозиллы. Но нет. После закрытия тишина. Кто-то отправляет DNS запросы именно на зеркала Суси. Кто и зачем? В процессах тишина, все проверки обновлений отключены.

Уточнение:
В /etc/NetworkManager/NetworkManager.conf закомментировал строчку conncheck.opensuse.org, иначе NM branding openSUSE постоянно долбится еще и туда (интересно сколько обходится этот DDOS?).
Также удалил содержимое файла /var/lib/zypp/AnonymousUniqueId, чтобы YaST не отправлял ID при обновлении и установке пакетов. Но это все к делу особо не относится, просто уточнил, может, кто не знал.

Для Wireshark нужно сделать:

su -
/usr/sbin/usermod -aG wireshark $USER

И перелогиниться.

Содержимое /etc/resolv.conf
nameserver 1.1.1.1

Файл защищен от изменений
chattr +i /etc/resolv.conf

Заменил NetworkManager-branding-openSUSE на NetworkManager-branding-upstream, перезагрузился - проблему не решило.

Похоже, это системная фича. Запускал qBittorrent, закрыл и позже появились DNS запросы
router.utorrent.com
router.bittorrent.com
это DHT домены. Там еще оказывается wxHexEditor в сеть вылез. В связи с этим вопрос, наблюдается ли такое в ваших дистрах?

renuter ()
Ответ на: комментарий от lovermann

Посмотрю завтра. Запустил пока в убунте. tcpdump не показывает какое приложение делает запрос, а хорошо бы, чтобы показывало.

В процессах висит только gvfsd-dnssd --spawner и надо бы еще удалить ahavi.

renuter ()
Ответ на: комментарий от renuter

вот это интересная тема. У меня на малине qbittorrent 24/7 и переодически теряю коннекшн точно по твоему сценарию. Но только с малины я никогда еще не пинговал, только с ноута с федорой. Думаешь qbittorrent виноват? Надо срочно проверить

jtad ()
Последнее исправление: jtad (всего исправлений: 1)
Ответ на: комментарий от jtad

Коннект может теряться из-за того, что DHT создает слишком много запросов. У меня был ADSL модем Zyxel, который просто захлебывался от него (в режиме NAT'а, конечно, когда соединением рулит сам), пока я не увеличил в настройках модема максимальное количество соединений.

renuter ()
Ответ на: комментарий от renuter

вырубил qbittorrent и сижу уже со вчерашнего дня без обрывов связи. Вообщем спасибо на наводку. Не знаю правда что придумать с торрентом, потому что качать охота..

jtad ()
Ответ на: комментарий от lovermann

tcpdump тоже показывает запросы.

user@system:~> sudo tcpdump -i ppp0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
18:31:21.923217 IP 10.22.68.203.42290 > one.one.one.one.domain: 12508+ A? s14-eu5.startpage.com. (39)
18:31:22.080842 IP one.one.one.one.domain > 10.22.68.203.58483: 5637 1/0/0 PTR one.one.one.one. (87)
18:31:22.081334 IP 10.22.68.203.46179 > one.one.one.one.domain: 23948+ PTR? 203.68.22.10.in-addr.arpa. (43)
18:31:22.401808 IP one.one.one.one.domain > 10.22.68.203.42290: 12508 1/0/0 A 37.0.87.55 (76)
18:31:22.401997 IP 10.22.68.203.55023 > one.one.one.one.domain: 15063+ AAAA? s14-eu5.startpage.com. (39)
18:31:22.890745 IP one.one.one.one.domain > 10.22.68.203.55023: 15063 0/1/0 (117)
18:32:56.891236 IP 10.22.68.203.54428 > one.one.one.one.domain: 5377+ A? opensuse.mirror.liteserver.nl. (47)
18:32:57.889871 IP one.one.one.one.domain > 10.22.68.203.54428: 5377 2/0/0 CNAME mirror.liteserver.nl., A 185.31.172.243 (106)
18:32:57.890122 IP 10.22.68.203.42289 > one.one.one.one.domain: 25610+ AAAA? opensuse.mirror.liteserver.nl. (47)
18:32:58.307814 IP one.one.one.one.domain > 10.22.68.203.42289: 25610 2/0/0 CNAME mirror.liteserver.nl., AAAA 2a01:6340:1:20::243 (118)
18:33:16.308312 IP 10.22.68.203.35118 > one.one.one.one.domain: 33567+ A? packman.inode.at. (34)
18:33:17.178640 IP one.one.one.one.domain > 10.22.68.203.35118: 33567 1/0/0 A 84.116.34.231 (66)
18:33:17.178874 IP 10.22.68.203.46372 > one.one.one.one.domain: 25351+ AAAA? packman.inode.at. (34)
18:33:17.738580 IP one.one.one.one.domain > 10.22.68.203.46372: 25351 1/0/0 AAAA 2001:730:3e14:8000::231 (78)

Wireshark
startpage.com я открывал в Firefox.

renuter ()
Ответ на: комментарий от renuter

Удалил avahi nss-mdns, перезагрузился, из процессов исчез gvfsd-dnssd. Но запросы продолжают идти.
Verbose лог tcpdump:

user@system:~> sudo tcpdump -i ppp0 -v
tcpdump: listening on ppp0, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
18:59:53.325919 IP (tos 0x0, ttl 64, id 24337, offset 0, flags [DF], proto UDP (17), length 62)
    10.25.248.169.42782 > one.one.one.one.domain: 53896+ A? packman.inode.at. (34)
18:59:53.325990 IP (tos 0x0, ttl 64, id 24338, offset 0, flags [DF], proto UDP (17), length 62)
    10.25.248.169.42782 > one.one.one.one.domain: 57974+ AAAA? packman.inode.at. (34)
18:59:53.326762 IP (tos 0x0, ttl 64, id 24339, offset 0, flags [DF], proto UDP (17), length 66)
    10.25.248.169.48399 > one.one.one.one.domain: 22298+ PTR? 1.1.1.1.in-addr.arpa. (38)
18:59:54.094628 IP (tos 0x30, ttl 51, id 34466, offset 0, flags [DF], proto UDP (17), length 94)
    one.one.one.one.domain > 10.25.248.169.42782: 53896 1/0/0 packman.inode.at. A 84.116.34.231 (66)
18:59:54.242583 IP (tos 0x30, ttl 51, id 34580, offset 0, flags [DF], proto UDP (17), length 106)

Не знаю, что еще придумать. Придется распрощаться с Сусей. Это явно не нормально. В Xubuntu 16.04 такого нет.

renuter ()
Ответ на: комментарий от Khnazile

Спасибо. Теперь стало тихо. В убунте этот пакет вообще не был установлен. Как много все-таки люди не знают о дистрибутивах, которыми пользуются. И о SUSE в том числе.

renuter ()