Jump to content

Externe IP Adressen fragen internen Server ab (lt. Eventlog)


Recommended Posts

Hallo,

ich stehe hier vor folgender Herausforderung:

 

Der DNS-Log eines Servers verweist immer wieder auf Verbindungen (DNS Abfragen) die lt. Logging des Servers von einer externen IP Adresse kommen und die mit dem internen Netzwerk nichts zu tun haben. Der Server selbst ist ein interner DC, der zwar von LAN nach WAN darf, jedoch hat das WAN keinen Zugriff auf diesen Server.

 

Er steht u.a. einem Linuxclient als LDAP Server (Userauthentifizierung) zur Verfügung.

 

Was ich mich frage ist, wie es sein kann, dass der Server laut Logging DNS Anfragen von externen IP Adressen bekommt (und das haufenweise). Gefällt mir gar nicht.

 

Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 157.53.226.xxx festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket
Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 185.120.23.xxx festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket.
usw.
usf.

 

Die Details sehen dann zb so aus:

 

In Bytes

0000: BF A9 84 00 01 00 01 00   ¿©.....
0008: 00 00 01 00 0B 65 64 67   .....edg
0010: 65 7A 6F 6E 65 2D 69 74   ezone-it
0018: 0A 62 75 6E 6E 79 69 6E   .bunnyin
0020: 66 72 61 03 6E 65 74 00   fra.net.
0028: 00 1C 00 01 C0 0C 00 01   ....À...
0030: 00 01 00 00 00 23 00 04   .....#..
0038: 54 11 3B 73 00 00 29 10   T.;s..).
0040: 00 00 00 00 00 00 00      .......

 

Edited by mcdaniels
Link to comment

Vielleicht hat das WAN via UPD doch Zugriff? Falsch konfigurierte Firewall? Oder der das Default Gateway reagiert UPNP?

Persönlich würde ich DC's keinen Internetzugriff erlauben.

 

Edit: Falls Du das optionale DNS-Debug meinst: Wenn der DC auf öffentliche DNS-Server weiterleitet, ist das natürlich normal. Irgendwie muss er ja externe Adressen auslösen.

Edited by zahni
Link to comment
Gerade eben schrieb zahni:

Vielleicht hat das WAN via UPD doch Zugriff?

Absolut ausgeschlossen. Es gibt keine Policy auf der Firewall, die einen Zugang von WAN nach LAN erlaubt.

 

Gerade eben schrieb zahni:

Persönlich würde ich DC's keinen Internetzugriff erlauben

Sehe ich auch so. Ist aber hier nicht der Fall.

 

Die Logs treten alle Sekunden auf. Und offenbar ist immer


0010: 65 7A 6F 6E 65 2D 64 6B ezone-*
0018: 0A 62 75 6E 6E 79 69 6E .bunnyin
0020: 66 72 61 03 6E 65 74 00 fra.net

 

involviert...

 

dort wo der * ist, variiert der Eintrag..

Edited by mcdaniels
Link to comment

Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst.

 

https://social.technet.microsoft.com/Forums/ie/en-US/27d2015b-d107-433e-b944-279542a9d867/the-dns-server-encountered-an-invalid-domain-name-in-a-packet-from-1575611242?forum=winserveripamdhcpdns

Edited by zahni
Link to comment
vor 2 Stunden schrieb zahni:

Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst.

Ja er hat eine Weiterleitung auf die Provider DNS. Allerdings ist die (dachte ich) doch nur von intern nach extern. Sprich also, wenn er die Anfrage nicht selbst auflösen kann, geht er nach extern.

 

In dem Fall bekomm ich aber offenbar von extern DNS Anfragen herein (und das obwohl auf der Hardwarefirewall von extern (WAN) nach intern (LAN) keine Weiterleitung besteht.

 

Meinem Verständnis nach dürfte ja dann, selbst wenn der Server selbst Internet DNS macht, keine Anfrage von extern nach intern kommen.

Edited by mcdaniels
Link to comment

Lies Dir den Link oben nochmal durch. Du bekommst eher eine ungültige Antwort von einem  externen DNS-Server.

Eine Abfrage nach ezone-*.bunnyinfra.net ist übrigens ungültig. Da ist kein Wildcard erlaubt. Wenn Du das DNS-Debug aktivierst, bekommst DU auch raus, wer diese Anfrage gestellt hat.

bunnyfra.net scheint ein CDN zu sein, wobei ich das nicht mit Sicherheit sagen kann. Könnte auch suspect sein.

Edited by zahni
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...