服務(wù)器每天零點(diǎn)究竟做了什么事？

wewi

我在網(wǎng)關(guān)后面DMZ里架設(shè)了一臺(tái)內(nèi)部freebsd服務(wù)器（開(kāi)啟了電影和www,mail服務(wù)，未設(shè)防火墻），網(wǎng)關(guān)用debian（3塊網(wǎng)卡，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ），用iptables控制訪問(wèn)，將freebsd服務(wù)器的80，25，110，554等端口映射出來(lái)。原來(lái)一直用得很好。后來(lái)停電了一次，當(dāng)然期間我也改動(dòng)過(guò)iptalbes的規(guī)則（原來(lái)的忘了備份），不過(guò)到停電前都能正常工作的�？墒峭ｋ娭�后服務(wù)器出現(xiàn)了一個(gè)很奇怪的現(xiàn)象(是之后1周左右才發(fā)現(xiàn)的)，www和mail還都正常，可是電影服務(wù)在每天晚上外部訪問(wèn)就無(wú)法播放，但是每天0點(diǎn)后卻能恢復(fù)正常，我曾在早上測(cè)試過(guò)也有能播放的情況，但到了晚上絕對(duì)不行。所以我很想知道服務(wù)器在0點(diǎn)的時(shí)候究竟執(zhí)行了什么操作。
    我看了網(wǎng)關(guān)和freebsd的crontab，發(fā)現(xiàn)只有freebsd有adjkerntz -a會(huì)在0-5點(diǎn)的1分進(jìn)行，而且試驗(yàn)了不是這個(gè)造成的。在網(wǎng)關(guān)和freebsd上我用tcpdump抓包看，當(dāng)不能訪問(wèn)的時(shí)候，外部的數(shù)據(jù)也能訪問(wèn)到freebsd 服務(wù)器的554端口，可是freebsd的數(shù)據(jù)到不了Internet客戶端。網(wǎng)關(guān)內(nèi)的客戶端隨時(shí)都可以正常播放，不受影響。
    我自己認(rèn)為可能是網(wǎng)關(guān)內(nèi)的一些客戶端可能中了木馬或者什么(arp攻擊？) (因?yàn)橛械臅r(shí)候個(gè)別電腦在dhcp服務(wù)分配ip地址時(shí)被分配了一個(gè)不存在的網(wǎng)關(guān)ip地址；很早的時(shí)候有的電腦中病毒后就算是重裝，也會(huì)發(fā)生原來(lái)的ip不能ping通或連接網(wǎng)關(guān)服務(wù)器的情況，非要改ip才行；網(wǎng)絡(luò)打印機(jī)也經(jīng)常有遠(yuǎn)程下層文檔在隊(duì)列等現(xiàn)象)，將有問(wèn)題的數(shù)據(jù)通過(guò)網(wǎng)關(guān)轉(zhuǎn)向DMZ，debian或freebsd的機(jī)器對(duì)此做出了一些阻擋，導(dǎo)致internet訪問(wèn)出了一些問(wèn)題。到了0點(diǎn)的時(shí)候，服務(wù)器可能執(zhí)行了一個(gè)重置的操作，所以所有的服務(wù)又可以訪問(wèn)了。
    我白天在freebsd服務(wù)器用tcpdump抓了1天，有6M多數(shù)據(jù)，不知道有沒(méi)有什么好工具可以進(jìn)行分析？另外有用antiarp工具分析了一下網(wǎng)絡(luò)，1個(gè)多小時(shí)左右，發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)有2,3臺(tái)客戶端的arp數(shù)據(jù)比一般的機(jī)器高了20多倍，一般的只有20多，這2，3臺(tái)各有500-600。
    sorry, 基礎(chǔ)知識(shí)不好，描述得不夠?qū)�業(yè)。有知道的大俠幫忙分析下了。

[ 本帖最后由 wewi 于 2007-12-13 22:10 編輯 ]

lsstarboy

不是太了解，但樓主可以看一下
/etc/periodic/daily

wewi

freebsd服務(wù)器的crontab如下：

#minute hour    mday    month   wday    who     command
#
*/5     *       *       *       *       root    /usr/libexec/atrun
*/5     *       *       *       *       cacti   /usr/local/bin/php /usr/local/share/cac
ti/poller.php > /dev/null 2>&1
#
# Save some entropy so that /dev/random can re-seed on boot.
*/11    *       *       *       *       operator /usr/libexec/save-entropy
#
# Rotate log files every hour, if necessary.
0       *       *       *       *       root    newsyslog
#
# Perform daily/weekly/monthly maintenance.
1       3       *       *       *       root    periodic daily
15      4       *       *       6       root    periodic weekly
30      5       1       *       *       root    periodic monthly
#
# Adjust the time zone if the CMOS clock keeps local time, as opposed to
# UTC time.  See adjkerntz( for details.
1,31    0-5     *       *       *       root    adjkerntz -a
0       20      *       *       6       root    /var/cron/sa.sh

那個(gè)periodic daily是3點(diǎn)1分執(zhí)行的，不過(guò)晚上去試驗(yàn)看看。

wewi

今天不能播放時(shí)在網(wǎng)關(guān)上抓到的包，用(服務(wù)器IP)和(客戶端IP)替換了實(shí)際的IP
tcpdump -i eth1 | grep  1755
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
12:15:33.639393 IP (服務(wù)器IP).1755 > (客戶端IP).1801: F 3476006060:3476006060(0) ack 3289962653 win 65535
12:15:35.622281 IP (客戶端IP).1857 > (服務(wù)器IP).1755: S 581001804:581001804(0) win 65535 <mss 1414,nop,nop,sackOK>
12:15:35.622504 IP (服務(wù)器IP).1755 > (客戶端IP).1857: S 2756587824:2756587824(0) ack 581001805 win 65535 <mss 1460,sackOK,eol>
12:15:35.725351 IP (客戶端IP).1857 > (服務(wù)器IP).1755: . ack 1 win 65535
12:15:53.117546 IP (服務(wù)器IP).1755 > (客戶端IP).1805: F 2412225657:2412225657(0) ack 90686407 win 65535
12:16:13.469657 IP (服務(wù)器IP).1755 > (客戶端IP).1794: F 604413288:604413288(0) ack 3354290555 win 65535
12:16:17.869463 IP (服務(wù)器IP).1755 > (客戶端IP).1801: F 0:0(0) ack 1 win 65535
12:16:37.347627 IP (服務(wù)器IP).1755 > (客戶端IP).1805: F 0:0(0) ack 1 win 65535
12:16:57.699717 IP (服務(wù)器IP).1755 > (客戶端IP).1794: R 1:1(0) ack 1 win 65535
12:17:02.099544 IP (服務(wù)器IP).1755 > (客戶端IP).1801: F 0:0(0) ack 1 win 65535

--------------------------------------------------
在Freebsd服務(wù)器上抓得包
20:26:51.591832 IP (客戶端IP).2047 > (freebsd的IP).1755: S 3989581806:3989581806(0) win 65535 <mss 1414,nop,nop,sackOK>
20:26:51.591937 IP (freebsd的IP).1755 > (客戶端IP).2047: S 4204720502:4204720502(0) ack 3989581807 win 65535 <mss 1460,sackOK,eol>
20:26:51.719196 IP (客戶端IP).2047 > (freebsd的IP).1755: . ack 1 win 65535
20:29:50.003567 IP (客戶端IP).2053 > (freebsd的IP).1755: S 1488607227:1488607227(0) win 65535 <mss 1414,nop,nop,sackOK>
20:29:50.003672 IP (freebsd的IP).1755 > (客戶端IP).2053: S 3891257382:3891257382(0) ack 1488607228 win 65535 <mss 1460,sackOK,eol>
20:29:50.135327 IP (客戶端IP).2053 > (freebsd的IP).1755: . ack 1 win 65535

--------------------------------------------------
在模擬環(huán)境下，能正常播放的情況, 192.168.0.206為服務(wù)器IP, 192.168.0.7為客戶端IP
04:00:52.944606 IP 192.168.0.7.1689 > 192.168.0.206.1755: S 1028289189:1028289189(0) win 65535 <
04:00:52.944738 IP 192.168.0.206.1755 > 192.168.0.7.1689: S 2278810972:2278810972(0) ack 1028289p,sackOK>
04:00:52.944878 IP 192.168.0.7.1689 > 192.168.0.206.1755: . ack 1 win 65535
04:00:52.951055 IP 192.168.0.7.1689 > 192.168.0.206.1755: P 1:177(176) ack 1 win 65535
04:00:52.951203 IP 192.168.0.206.1755 > 192.168.0.7.1689: . ack 177 win 6432
04:00:52.967664 IP 192.168.0.206.1755 > 192.168.0.7.1689: P 1:121(120) ack 177 win 6432
04:00:52.968415 IP 192.168.0.7.1689 > 192.168.0.206.1755: P 177:225(4 ack 121 win 65415

wewi

果然12點(diǎn)后又恢復(fù)了

數(shù)據(jù)如下：
00:13:46.032955 IP (客戶端IP).3174 > (服務(wù)器IP).1755: S 3659541490:3659541490(0) win 65535 <mss 1414,nop,nop,sackOK>
00:13:46.033227 IP (服務(wù)器IP).1755 > (客戶端IP).3174: S 4071581604:4071581604(0) ack 3659541491 win 65535 <mss 1460,sackOK,eol>
00:13:46.115785 IP (客戶端IP).3174 > (服務(wù)器IP).1755: . ack 1 win 65535
00:13:46.126188 IP (客戶端IP).3174 > (服務(wù)器IP).1755: P 1:177(176) ack 1 win 65535
00:13:46.137424 IP (服務(wù)器IP).1755 > (客戶端IP).3174: P 1:121(120) ack 177 win 65535
00:13:46.221737 IP (客戶端IP).3174 > (服務(wù)器IP).1755: P 177:225(4 ack 121 win 65415
00:13:46.222173 IP (服務(wù)器IP).1755 > (客戶端IP).3174: P 121:633(512) ack 225 win 65535
00:13:46.222377 IP (服務(wù)器IP).1755 > (客戶端IP).3174: . 633:2047(1414) ack 225 win 65535

issjfk

三次握手最后一次的數(shù)據(jù)包看樣子沒(méi)到客戶端。我覺(jué)得更有可能是你網(wǎng)關(guān)的問(wèn)題。

zhangweizj

內(nèi)網(wǎng)是否還有windows的機(jī)器，我想是不是中了arp了，現(xiàn)在這種病毒挺猖獗。