Jump to content

Externe IP Adressen fragen internen Server ab (lt. Eventlog)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich stehe hier vor folgender Herausforderung:

 

Der DNS-Log eines Servers verweist immer wieder auf Verbindungen (DNS Abfragen) die lt. Logging des Servers von einer externen IP Adresse kommen und die mit dem internen Netzwerk nichts zu tun haben. Der Server selbst ist ein interner DC, der zwar von LAN nach WAN darf, jedoch hat das WAN keinen Zugriff auf diesen Server.

 

Er steht u.a. einem Linuxclient als LDAP Server (Userauthentifizierung) zur Verfügung.

 

Was ich mich frage ist, wie es sein kann, dass der Server laut Logging DNS Anfragen von externen IP Adressen bekommt (und das haufenweise). Gefällt mir gar nicht.

 

Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 157.53.226.xxx festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket
Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 185.120.23.xxx festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket.
usw.
usf.

 

Die Details sehen dann zb so aus:

 

In Bytes

0000: BF A9 84 00 01 00 01 00   ¿©.....
0008: 00 00 01 00 0B 65 64 67   .....edg
0010: 65 7A 6F 6E 65 2D 69 74   ezone-it
0018: 0A 62 75 6E 6E 79 69 6E   .bunnyin
0020: 66 72 61 03 6E 65 74 00   fra.net.
0028: 00 1C 00 01 C0 0C 00 01   ....À...
0030: 00 01 00 00 00 23 00 04   .....#..
0038: 54 11 3B 73 00 00 29 10   T.;s..).
0040: 00 00 00 00 00 00 00      .......

 

bearbeitet von mcdaniels
Link zu diesem Kommentar

Vielleicht hat das WAN via UPD doch Zugriff? Falsch konfigurierte Firewall? Oder der das Default Gateway reagiert UPNP?

Persönlich würde ich DC's keinen Internetzugriff erlauben.

 

Edit: Falls Du das optionale DNS-Debug meinst: Wenn der DC auf öffentliche DNS-Server weiterleitet, ist das natürlich normal. Irgendwie muss er ja externe Adressen auslösen.

bearbeitet von zahni
Link zu diesem Kommentar
Gerade eben schrieb zahni:

Vielleicht hat das WAN via UPD doch Zugriff?

Absolut ausgeschlossen. Es gibt keine Policy auf der Firewall, die einen Zugang von WAN nach LAN erlaubt.

 

Gerade eben schrieb zahni:

Persönlich würde ich DC's keinen Internetzugriff erlauben

Sehe ich auch so. Ist aber hier nicht der Fall.

 

Die Logs treten alle Sekunden auf. Und offenbar ist immer


0010: 65 7A 6F 6E 65 2D 64 6B ezone-*
0018: 0A 62 75 6E 6E 79 69 6E .bunnyin
0020: 66 72 61 03 6E 65 74 00 fra.net

 

involviert...

 

dort wo der * ist, variiert der Eintrag..

bearbeitet von mcdaniels
Link zu diesem Kommentar

Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst.

 

https://social.technet.microsoft.com/Forums/ie/en-US/27d2015b-d107-433e-b944-279542a9d867/the-dns-server-encountered-an-invalid-domain-name-in-a-packet-from-1575611242?forum=winserveripamdhcpdns

bearbeitet von zahni
Link zu diesem Kommentar
vor 2 Stunden schrieb zahni:

Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst.

Ja er hat eine Weiterleitung auf die Provider DNS. Allerdings ist die (dachte ich) doch nur von intern nach extern. Sprich also, wenn er die Anfrage nicht selbst auflösen kann, geht er nach extern.

 

In dem Fall bekomm ich aber offenbar von extern DNS Anfragen herein (und das obwohl auf der Hardwarefirewall von extern (WAN) nach intern (LAN) keine Weiterleitung besteht.

 

Meinem Verständnis nach dürfte ja dann, selbst wenn der Server selbst Internet DNS macht, keine Anfrage von extern nach intern kommen.

bearbeitet von mcdaniels
Link zu diesem Kommentar

Lies Dir den Link oben nochmal durch. Du bekommst eher eine ungültige Antwort von einem  externen DNS-Server.

Eine Abfrage nach ezone-*.bunnyinfra.net ist übrigens ungültig. Da ist kein Wildcard erlaubt. Wenn Du das DNS-Debug aktivierst, bekommst DU auch raus, wer diese Anfrage gestellt hat.

bunnyfra.net scheint ein CDN zu sein, wobei ich das nicht mit Sicherheit sagen kann. Könnte auch suspect sein.

bearbeitet von zahni
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...