Por que os servidores Ubuntu conectam-se a likho.canonical.com:80?

4

Temos alguns servidores Ubuntu 12.0.3 em nossa rede e vejo várias negações por dia em nosso firewall físico.

Os servidores Ubuntu estão tentando se conectar a 91.189.91.15 (likho.canonical.com) pela porta 80.

Alguém pode me dizer qual é essa tentativa de conexão e devo permitir o tráfego ou configurar o servidor para interromper a tentativa de conexão?

    
por user188112 28.08.2013 / 17:04

1 resposta

16

Eu acredito em ensinar as pessoas a pescar, então por que você não visita o link ? A porta 80 é habitualmente o tráfego da web, por isso sugiro abri-la no seu navegador.

Você verá rapidamente que likho.canonical.com é um repositório. É provavelmente apenas uma coisa de balanceamento de carga (um registro A round-robin para ser preciso) para o endereço archive.ubuntu.com . O domínio que você está vendo é a pesquisa inversa de IP .

Portanto, uma conexão do seu servidor é provavelmente um reflexo do seu servidor atualizar seus registros de pacotes locais e / ou baixar atualizações posteriormente.

Como podemos confirmar que likho.canonical.com é legítimo?

Bem, primeiro vamos provar que likho.canonical.com pode ser resolvido a partir de archive.ubuntu.com . Aqui está a dig archive.ubuntu.com output aparada:

;; ANSWER SECTION:
archive.ubuntu.com. 149 IN  A   91.189.92.176
archive.ubuntu.com. 149 IN  A   91.189.92.177
archive.ubuntu.com. 149 IN  A   91.189.92.200
archive.ubuntu.com. 149 IN  A   91.189.92.201
archive.ubuntu.com. 149 IN  A   91.189.92.202
archive.ubuntu.com. 149 IN  A   91.189.91.13
archive.ubuntu.com. 149 IN  A   91.189.91.14
archive.ubuntu.com. 149 IN  A   91.189.91.15   <- This is likho.canonical.com
archive.ubuntu.com. 149 IN  A   91.189.92.156

E aqui estão as pesquisas em ambas as direções, provando que 91.189.91.15 também resolve como likho.canonical.com (e vice-versa):

$ host 91.189.91.15
15.91.189.91.in-addr.arpa domain name pointer likho.canonical.com.

$ dig likho.canonical.com +short
91.189.91.15

Se você quiser mais provas, você pode fazer alguns TCPdumping para farejar o tráfego, mas eu acho que está entrando em um alto nível desnecessário de paranóia. Se você não pode confiar em seus repositórios, você precisa cortar o cabo Ethernet.

Mais diversão com DNS e amigos

Se você quiser brincar, pode obter o restante dos nomes dos servidores que archive.ubuntu.com resolve:

$ dig archive.ubuntu.com +short | xargs -I% host %
15.91.189.91.in-addr.arpa domain name pointer likho.canonical.com.
156.92.189.91.in-addr.arpa domain name pointer danava.canonical.com.
176.92.189.91.in-addr.arpa domain name pointer cursa.canonical.com.
177.92.189.91.in-addr.arpa domain name pointer zaurac.canonical.com.
200.92.189.91.in-addr.arpa domain name pointer obake.canonical.com.
201.92.189.91.in-addr.arpa domain name pointer urayuli.canonical.com.
202.92.189.91.in-addr.arpa domain name pointer sudice.canonical.com.
13.91.189.91.in-addr.arpa domain name pointer ragana.canonical.com.
14.91.189.91.in-addr.arpa domain name pointer orobas.canonical.com.

Veja qual tem a menor latência para você:

$ dig archive.ubuntu.com +short | xargs -I% ping -c1 % | awk '/time=/ {split(, array, "="); print  "\t" array[2] "ms"}' | sort -n -r -t$'\t' -k 1
91.189.92.202:  19.8ms
91.189.92.201:  19.8ms
91.189.92.200:  19.4ms
91.189.92.177:  20.5ms
91.189.92.176:  19.6ms
91.189.92.156:  20.2ms
91.189.91.15:   97.4ms
91.189.91.14:   95.9ms
91.189.91.13:   96.4ms

E aqui está como você triangula a localização de alguém dentro de três pés apenas usando suas latências de locais conhecidos ... Ok ... Talvez não. É provavelmente possível em um raio de 50 milhas (se você souber os locais de servidores e links de rede), mas você precisa saber muito mais informações do que eu certamente tenho.

    
por Oli 28.08.2013 / 17:07