ich stell die Frage mal hier, ist zwar "computer-related" aber hat nix mit debian direkt zu tun.
Ich habe bei mir dnsmasq als lokalen dns-server laufen (der dann auf opendns weiterleitet) und eine relativ umfangreiche blackliste von Hand zusammengetragen, in welcher sich auch einige google-domains befinden, unter anderem die oben genannte 1e100.net, die ich auf meinen localhost zeigen lasse (127.0.0.1).
Nun hat mir google bei der letzten anfrage zurückgemeldet, daß aus meinem Netz automatisierte Abfragen kämen, weswegen ich mal so ein wenig tcpdump beobachtet habe, ob irgendwas stattfindet, was ich mit meinem Lamerauge auf Anhieb als verdächtig erkennen könnte...
Was mir jetzt hier auffällt: wenn browser und mailclient nicht laufen, scheint so weit alles o.k., aber wenn ich beispielsweise den browser (opera 11.x oder auch firefox nightly) aufmache, ohne eine Seite aufzurufen, bekomme ich traffic von 1e100.net
Code: Alles auswählen
09:11:27.273970 IP 192.168.1.8.40890 > ham02s11-in-f12.1e100.net.https: Flags [P.], seq 41:72, ack 42, win 331, options [nop,nop,TS val 2495338 ecr 2614063377], length 31
09:11:27.274018 IP 192.168.1.8.40890 > ham02s11-in-f12.1e100.net.https: Flags [F.], seq 72, ack 42, win 331, options [nop,nop,TS val 2495338 ecr 2614063377], length 0
09:11:27.274150 IP 192.168.1.8.45000 > ham02s11-in-f3.1e100.net.http: Flags [F.], seq 3794477408, ack 1576063619, win 265, options [nop,nop,TS val 2495338 ecr 2614004621], length 0
09:11:27.274270 IP 192.168.1.8.36482 > ham02s11-in-f14.1e100.net.https: Flags [P.], seq 1507:1538, ack 11003, win 1067, options [nop,nop,TS val 2495338 ecr 2614057293], length 31
09:11:27.274302 IP 192.168.1.8.36482 > ham02s11-in-f14.1e100.net.https: Flags [F.], seq 1538, ack 11003, win 1067, options [nop,nop,TS val 2495338 ecr 2614057293], length 0
09:11:27.274944 IP 192.168.1.8.47378 > ham02s11-in-f14.1e100.net.http: Flags [F.], seq 1857233929, ack 1014452636, win 331, options [nop,nop,TS val 2495339 ecr 2614001066], length 0
So ganz kann ich die Flags auch nicht deuten, sind (von 1e100.net) immer nur [F] und [P] flags, das bedeutet, wenn ichs richtig sehe, daß keine Verbindung zustande kommt? Wie kommen die Browser denn drauf, diese speziellen Maschinen zu kontaktieren bzw. vice versa?
Einfach nur aus Interesse.
Grüße, Durruti