Какие ? Вот у меня к примеру в ЖЖ встроен RSS для вредленты и он кстати "снаружи" не виден, обратиться к нему сожно только по специальной ссылке.

Что "какие?"
Я Вам подробно объяснил в первом комментарии - что реально произошло.
На стороне livejournal.com повисло одно или несколько TCP-соеднинений с Вашей машины, и ЖЖ-шный сервер их ресетнул.

К журналу тарлита я обращался в 15.50, после чего за 3 часа побороздил по просторам ЖЖ. Соответственно DNS кеш на адрес 204.9.177.18 обновился раз десять, а теперь расскажите как "умный" фаервол достает из глубины сибирских руд старинную запись и не выдает более свежую.

Элементарно, Ватсон.
Эта запись осталась в кэше и он её достал.
Если бы её там не было - он бы её оттуда не достал, и не показал бы, поскольку ни один из IP-шников принадлежащих серверами Живого Журнала непосредственно в tarlith.livejournal.com не резолвится.
Попробуйте найти в логаж Аутпоста IP-адрес и попробуйте извлечь откуда-нибудь из интернета информацию о том, что это именно tarlith.livejournal.com - у Вас этого не получится до тех пор, пока Вы не сунетесь на этот адрес. Патамушта - тот самый виртуальный хостинг про который Вы написали :)
Там этих адресов журналов на каждом IP - десятки, если не сотни тысяч.

Дело в том, что самая последня DNS запись в кеше до 19,22 была на мой собственный журнал. И тогда бы я увидел как атакую сам себя :)

а кто Вам сказал, что последняя используемая запись в кэше соответствует последнему по времени обращению к страничке в броузере?

аутпост ведет собственный кеш, и из него же достает записи. Тогда я снова повторяю вопрос, почему "умныы" аутпост взял не верхнюю запись а начал спускаться вниз по списку ?

Тогда я снова повторяю вопрос, почему "умныы" аутпост взял не верхнюю запись а начал спускаться вниз по списку ?
Неточность в логике работы. Например у Вас системе был какой-то недозакрытый коннект c ЖЖшным IP, который отрезолвился в момент открытия как соответствующий tarlith.livejournal.com.
А на самом деле он относился к stat.livejournal.com, www.livejournal.com или ещё к чему-то.
Вы вместо того, чтобы повторять свои вопросы - попробовали придумать, каким образом система может узнать о соответствии именно tarlith.livejournal.com и конкретного IP, в ситуации, когда на этот IP навешено множество журналов.
Идеи есть?
Может там домен на поверхности IP-пакета пишется красным фломастером?

я понял, что Вы этого не поняли
в кэше может хранится НЕСКОЛЬКО записей, соответствующих одному IP но разным доменам
при этом очищается он далеко не всегда очевидным способом

Объясняю еще раз, фаер берет записи из собственного кеша, нижняя запись в котором датируется 12.09

ч то вам ping -a 204.9.177.18 говорит?

C:\>ping -a 204.9.177.18

Обмен пакетами с livejournal.com [204.9.177.18] по 32 байт:

и ничего другого он сказать не может

Так откуда взялся адрес tarlith? :)
JavaScript на ЖЖ-ном сервере отработал и прислал?

там php или что-то в этом роде ждя создания своих стилей.
но я подозреваю что он там сльно кастрирован.

Пардон, я не посмотрел, кто мне отвечал
не в кассу высказался ;-)

меня вот тоже смущает что outpost показал именно такой hostname =)

а меньше надо его журнал читать - так его адрес будет реже в кэше задерживаться, вот что :)

Там не пхп, там самописная "template engine"
Движок для генерации хтмл, то бишь...

тот же самый вопрос =)
как в tcp пакете с проставленными ack и rst может содержаться имя хоста?

Я вообще-то в курсе, как работает Аутпост.
Вам "ещё раз объяснить" значение фразы "очищается он далеко не всегда очевидным способом"?

не сунетесь на tarlith.livejournal.com в броузере

никакой скрипт на шкиперских страницах не способен послать Вам RST-пакет с адреса tarlith.livejournal.com просто потому, что
скрипты выполняются на ВАШЕЙ машине.

>просто потому, что скрипты выполняются на ВАШЕЙ машине.

в этом вы не правы.
платники могут делать именно server-side скрипты

по начальным условиям (журнал тарлита не читался) сервер сайд скрипт должен был шарашить наугад по всему интернету
или конкретно обламывать всех запомненных посетителей шкиперовской странице
мало того, что это нереально, так ещё и встаёт вопрос - жабаскриптом реально пробиться до raw-сокетов, по крайней мере в теории.
А вот что на ЖЖ-шном сервере такое допустили бы... извините, не верю.

Журнал тарлита я читал, соотвественно через счетчик мой адрес и ЖЖ ник остался в табличке.

уже несколько вышло за рамки.
Так же как и упорное игнорирование вопроса о способах, которыми аутпост мог бы восстановить информацию о виртуальном хосте, если её нет в кэше.

Расскажите мне, каким образом сервер-сайд скрипт мог сформировать
RST-пакет?

>> если её нет в кэше.
И где вы это прочитали ? В кеше лежат записи за последние 6 дней

Блять.
У меня в аське сидит автор аутпостовского движка.
Я его спросил.
Можете поискать его по интернету самостоятельно и задать ему тот же вопрос, благо человек особо не скрывается.
Чтобы Вас сильно не расстраивать, я не буду Вам приводить
его ответ.

На этом, я наверное, закончу разговор - мне, честное слово, надоело.

Каким образом скрипт формирует пакет хер знает, я не программер а сетевой админ. Пишут же умельцы на перле p2p клиенты

Вы еще забыли добавить, что для исполнения скрипта нужно как минимум иметь соответсвующий интерпритатор на машине