mcdaniels 33 Geschrieben 13. September 2022 Melden Teilen Geschrieben 13. September 2022 (bearbeitet) Hallo, ich stehe hier vor folgender Herausforderung: Der DNS-Log eines Servers verweist immer wieder auf Verbindungen (DNS Abfragen) die lt. Logging des Servers von einer externen IP Adresse kommen und die mit dem internen Netzwerk nichts zu tun haben. Der Server selbst ist ein interner DC, der zwar von LAN nach WAN darf, jedoch hat das WAN keinen Zugriff auf diesen Server. Er steht u.a. einem Linuxclient als LDAP Server (Userauthentifizierung) zur Verfügung. Was ich mich frage ist, wie es sein kann, dass der Server laut Logging DNS Anfragen von externen IP Adressen bekommt (und das haufenweise). Gefällt mir gar nicht. Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 157.53.226.xxx festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 185.120.23.xxx festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket. usw. usf. Die Details sehen dann zb so aus: In Bytes 0000: BF A9 84 00 01 00 01 00 ¿©..... 0008: 00 00 01 00 0B 65 64 67 .....edg 0010: 65 7A 6F 6E 65 2D 69 74 ezone-it 0018: 0A 62 75 6E 6E 79 69 6E .bunnyin 0020: 66 72 61 03 6E 65 74 00 fra.net. 0028: 00 1C 00 01 C0 0C 00 01 ....À... 0030: 00 01 00 00 00 23 00 04 .....#.. 0038: 54 11 3B 73 00 00 29 10 T.;s..). 0040: 00 00 00 00 00 00 00 ....... bearbeitet 13. September 2022 von mcdaniels Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 13. September 2022 Melden Teilen Geschrieben 13. September 2022 wie lautet denn die genaue Fehlermeldung? Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 13. September 2022 Autor Melden Teilen Geschrieben 13. September 2022 Gerade eben schrieb NorbertFe: wie lautet denn die genaue Fehlermeldung? hab ich jetzt oben ergänzt.... Was mich beschäftigt: Wieso fragt ein externer Server (irgendeiner) den internen DNS ab. Da stimmt doch was nicht.... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. September 2022 Melden Teilen Geschrieben 13. September 2022 (bearbeitet) Vielleicht hat das WAN via UPD doch Zugriff? Falsch konfigurierte Firewall? Oder der das Default Gateway reagiert UPNP? Persönlich würde ich DC's keinen Internetzugriff erlauben. Edit: Falls Du das optionale DNS-Debug meinst: Wenn der DC auf öffentliche DNS-Server weiterleitet, ist das natürlich normal. Irgendwie muss er ja externe Adressen auslösen. bearbeitet 13. September 2022 von zahni Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 13. September 2022 Autor Melden Teilen Geschrieben 13. September 2022 (bearbeitet) Gerade eben schrieb zahni: Vielleicht hat das WAN via UPD doch Zugriff? Absolut ausgeschlossen. Es gibt keine Policy auf der Firewall, die einen Zugang von WAN nach LAN erlaubt. Gerade eben schrieb zahni: Persönlich würde ich DC's keinen Internetzugriff erlauben Sehe ich auch so. Ist aber hier nicht der Fall. Die Logs treten alle Sekunden auf. Und offenbar ist immer 0010: 65 7A 6F 6E 65 2D 64 6B ezone-* 0018: 0A 62 75 6E 6E 79 69 6E .bunnyin 0020: 66 72 61 03 6E 65 74 00 fra.net involviert... dort wo der * ist, variiert der Eintrag.. bearbeitet 13. September 2022 von mcdaniels Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. September 2022 Melden Teilen Geschrieben 13. September 2022 (bearbeitet) Bitte EventID und Quelle nennen. Update: Im DNS eine Weiterleitung auf einen externen DNS einstellen und die Namensauflösung nicht über die Root-Zonen machen. Dann sollten die Meldungen verschwinden (zumindest lt. Google). bearbeitet 13. September 2022 von zahni Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 13. September 2022 Autor Melden Teilen Geschrieben 13. September 2022 Grundsätzlich ist dieses Verhalten jedenfalls auch aus eurer Sicht (interner DC) nicht normal. Das ist ja schonmal was ;) Gerade eben schrieb zahni: Bitte EventID und Quelle nennen. Event ID 5504 Quelle: DNS-SERVER-SERVICE Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. September 2022 Melden Teilen Geschrieben 13. September 2022 (bearbeitet) Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst. https://social.technet.microsoft.com/Forums/ie/en-US/27d2015b-d107-433e-b944-279542a9d867/the-dns-server-encountered-an-invalid-domain-name-in-a-packet-from-1575611242?forum=winserveripamdhcpdns bearbeitet 13. September 2022 von zahni Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 13. September 2022 Autor Melden Teilen Geschrieben 13. September 2022 (bearbeitet) vor 2 Stunden schrieb zahni: Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst. Ja er hat eine Weiterleitung auf die Provider DNS. Allerdings ist die (dachte ich) doch nur von intern nach extern. Sprich also, wenn er die Anfrage nicht selbst auflösen kann, geht er nach extern. In dem Fall bekomm ich aber offenbar von extern DNS Anfragen herein (und das obwohl auf der Hardwarefirewall von extern (WAN) nach intern (LAN) keine Weiterleitung besteht. Meinem Verständnis nach dürfte ja dann, selbst wenn der Server selbst Internet DNS macht, keine Anfrage von extern nach intern kommen. bearbeitet 13. September 2022 von mcdaniels Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 14. September 2022 Melden Teilen Geschrieben 14. September 2022 (bearbeitet) Lies Dir den Link oben nochmal durch. Du bekommst eher eine ungültige Antwort von einem externen DNS-Server. Eine Abfrage nach ezone-*.bunnyinfra.net ist übrigens ungültig. Da ist kein Wildcard erlaubt. Wenn Du das DNS-Debug aktivierst, bekommst DU auch raus, wer diese Anfrage gestellt hat. bunnyfra.net scheint ein CDN zu sein, wobei ich das nicht mit Sicherheit sagen kann. Könnte auch suspect sein. bearbeitet 14. September 2022 von zahni Zitieren Link zu diesem Kommentar
schlingo 36 Geschrieben 14. September 2022 Melden Teilen Geschrieben 14. September 2022 vor einer Stunde schrieb zahni: Eine Abfrage nach ezone-*.bunnyinfra.net ist übrigens ungültig. Da ist kein Wildcard erlaubt. Hallo :) vor 18 Stunden schrieb mcdaniels: dort wo der * ist, variiert der Eintrag.. Gruß Ingo Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. September 2022 Melden Teilen Geschrieben 14. September 2022 das mag sein, aber eine DNS Anfrage kann keine Wildcard verwenden. ;) Zitieren Link zu diesem Kommentar
schlingo 36 Geschrieben 14. September 2022 Melden Teilen Geschrieben 14. September 2022 vor 5 Stunden schrieb NorbertFe: eine DNS Anfrage kann keine Wildcard verwenden Hallo Norbert :) ja, aber ich habe das so verstanden, dass an dieser Stelle statt des Asterisks wechselnde Zeichen stehen. Gruß Ingo Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. September 2022 Melden Teilen Geschrieben 14. September 2022 Ah jetzt ja. Ich hab da unten den als Fehlermeldung formatierten Nachsatz nicht gelesen. Danke für den Wink mit dem Tor. ;) 1 Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 14. September 2022 Autor Melden Teilen Geschrieben 14. September 2022 Danke für eure Antworten. Ihr habt das mit dem * korrekt interpretiert. Hier wechseln die Zeichen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.