syslog loop? voortdurend internetverkeer....

[Soul-Sing]

sinds kort is er in mijn syslog een voortdurende activiteit te zien.
met ellenlange verslagen van hetzelfde. nm:
inbound In= eth0 Out =mac=00:of etc: src= ............
dit verkeer heb ik nooit waargenomen in welke distro of welke versie van ubuntu dan ook. weet iemand wat dit betekent? of dit te stoppen is?
ik heb het idee dat het mijn internetverkeer sterk vertraagt.
via wireshark: micr. met voortdurende whois vragen. ik neem aan dat micr. microsoft is, maar ik draai hier linux mensen....
onderstaand mini-uittreksel wireshark.

[glupper68]

Ik wil geen angst aan jagen maar lees dit eens?

http://www.viruslist.com/en/weblog?weblogid=183651915

[Monkwarrior]

Hoe ver gaat je historie terug van syslog ?
Wellicht kun je het dan relateren aan een moment waarop je iets hebt geupdate of geinstalleerd ?

Monk.

ps glupper: ik zie niet in wat dat met de symptomen van Leoquant's machine heeft te maken, jij wel ?

[Soul-Sing]

@monk
het is niet te relateren aan een bepaalde update/ installatie. wel is het zo dat ik het op gutsy het eerst opmerkte. feisty geeft dezelfde resultaten.
als iemand: tcpdump -n -i eth0 > tcpdump.txt
gzip tcpdump.txt wil analyseren geef een seintje, dan stuur ik het op via de email.(?)
12:25:47.422387 arp who-has 169.............. tell 192.168.1.3
12:25:48.034795 arp who-has 169.............. tell 192.168.1.3
12:25:49.033575 arp who-has 169.............. tell 192.168.1.3
12:25:50.421800 arp who-has 169.............. tell 192.168.1.3

klein voorbeeldje.....

[Tukcedo]

Zou het van je (iptables) firewall kunnen komen?

[Johan van Dijk]

Over die arp meldingen is hier wel wat te vinden:
http://en.wikipedia.org/wiki/Address_Resolution_Protocol

192.168.1.3 is duidelijk een intern adres. Wat is dat 169... voor adres? Draait er een website of andere service op dat adres?

Die meldingen komen trouwens door Firestarter. Sinds ik die geïnstalleerd hebt loopt dmesg en /var/log/messages vol met redelijk zinloze meldingen.