Nous avons des serveurs Ubuntu 12.0.3 sur notre réseau et je peux voir plusieurs refus chaque jour sur notre pare-feu physique.
Les serveurs Ubuntu tentent de se connecter à 91.189.91.15 (likho.canonical.com) via le port 80.
Quelqu'un peut-il me dire en quoi consiste cette tentative de connexion et dois-je autoriser le trafic ou configurer le serveur pour qu'il arrête d'effectuer cette tentative de connexion?
Je crois qu'il est important d'apprendre aux gens à pêcher, alors pourquoi ne visitez-vous pas http://likho.canonical.com/ ? Le port 80 est habituellement un trafic Web, c'est pourquoi je suggère de l'ouvrir dans votre navigateur.
Vous verrez rapidement que likho.canonical.com
est un référentiel. Il s’agit probablement d’une simple question d’équilibrage de charge (un enregistrement alternatif A pour être plus précis) pour l’adresse archive.ubuntu.com
. Le domaine que vous voyez est le recherche IP inversée .
Par conséquent, une connexion de votre serveur est probablement le reflet de la mise à jour par le serveur de ses enregistrements de paquets locaux et/ou du téléchargement ultérieur des mises à jour.
likho.canonical.com
est légitime?Eh bien, commençons par prouver que likho.canonical.com
peut être résolu à partir de archive.ubuntu.com
. Voici la sortie ajustée Dig archive.ubuntu.com
:
;; ANSWER SECTION:
archive.ubuntu.com. 149 IN A 91.189.92.176
archive.ubuntu.com. 149 IN A 91.189.92.177
archive.ubuntu.com. 149 IN A 91.189.92.200
archive.ubuntu.com. 149 IN A 91.189.92.201
archive.ubuntu.com. 149 IN A 91.189.92.202
archive.ubuntu.com. 149 IN A 91.189.91.13
archive.ubuntu.com. 149 IN A 91.189.91.14
archive.ubuntu.com. 149 IN A 91.189.91.15 <- This is likho.canonical.com
archive.ubuntu.com. 149 IN A 91.189.92.156
Et voici les recherches dans les deux sens prouvant que 91.189.91.15
se résout également en likho.canonical.com
(et vice versa):
$ Host 91.189.91.15
15.91.189.91.in-addr.arpa domain name pointer likho.canonical.com.
$ Dig likho.canonical.com +short
91.189.91.15
Si vous voulez des preuves supplémentaires, vous pouvez utiliser TCP Dumping pour détecter le trafic, mais je pense que cela passe à un niveau élevé de paranoïa qui n'est pas nécessaire. Si vous ne pouvez pas faire confiance à votre dépôt, vous devez couper le câble Ethernet.
Si vous voulez vous amuser, vous pouvez obtenir le reste des noms de leurs serveurs que archive.ubuntu.com
résout en:
$ Dig archive.ubuntu.com +short | xargs -I% Host %
15.91.189.91.in-addr.arpa domain name pointer likho.canonical.com.
156.92.189.91.in-addr.arpa domain name pointer danava.canonical.com.
176.92.189.91.in-addr.arpa domain name pointer cursa.canonical.com.
177.92.189.91.in-addr.arpa domain name pointer zaurac.canonical.com.
200.92.189.91.in-addr.arpa domain name pointer obake.canonical.com.
201.92.189.91.in-addr.arpa domain name pointer urayuli.canonical.com.
202.92.189.91.in-addr.arpa domain name pointer sudice.canonical.com.
13.91.189.91.in-addr.arpa domain name pointer ragana.canonical.com.
14.91.189.91.in-addr.arpa domain name pointer orobas.canonical.com.
Voir lequel a la latence la plus basse pour vous:
$ Dig archive.ubuntu.com +short | xargs -I% ping -c1 % | awk '/time=/ {split($7, array, "="); print $4 "\t" array[2] "ms"}' | sort -n -r -t$'\t' -k 1
91.189.92.202: 19.8ms
91.189.92.201: 19.8ms
91.189.92.200: 19.4ms
91.189.92.177: 20.5ms
91.189.92.176: 19.6ms
91.189.92.156: 20.2ms
91.189.91.15: 97.4ms
91.189.91.14: 95.9ms
91.189.91.13: 96.4ms
Et voici comment trianguler l'emplacement d'une personne à un mètre à peine en utilisant ses latences à partir d'emplacements connus ... D'accord ... Peut-être que non. Il est probablement possible de faire moins de 50 km (si vous connaissez l'emplacement des serveurs et les liaisons réseau), mais vous devez connaître beaucoup plus d'informations que moi.