Externe IP Adressen fragen internen Server ab (lt. Eventlog)

[mcdaniels 29]

Hallo,

ich stehe hier vor folgender Herausforderung:

 

Der DNS-Log eines Servers verweist immer wieder auf Verbindungen (DNS Abfragen) die lt. Logging des Servers von einer externen IP Adresse kommen und die mit dem internen Netzwerk nichts zu tun haben. Der Server selbst ist ein interner DC, der zwar von LAN nach WAN darf, jedoch hat das WAN keinen Zugriff auf diesen Server.

 

Er steht u.a. einem Linuxclient als LDAP Server (Userauthentifizierung) zur Verfügung.

 

Was ich mich frage ist, wie es sein kann, dass der Server laut Logging DNS Anfragen von externen IP Adressen bekommt (und das haufenweise). Gefällt mir gar nicht.

 

Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 157.53.226.xxx festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket
Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 185.120.23.xxx festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket.
usw.
usf.

 

Die Details sehen dann zb so aus:

 

In Bytes

0000: BF A9 84 00 01 00 01 00   ¿©.....
0008: 00 00 01 00 0B 65 64 67   .....edg
0010: 65 7A 6F 6E 65 2D 69 74   ezone-it
0018: 0A 62 75 6E 6E 79 69 6E   .bunnyin
0020: 66 72 61 03 6E 65 74 00   fra.net.
0028: 00 1C 00 01 C0 0C 00 01   ....À...
0030: 00 01 00 00 00 23 00 04   .....#..
0038: 54 11 3B 73 00 00 29 10   T.;s..).
0040: 00 00 00 00 00 00 00      .......

 

bearbeitet 13. September 2022 von mcdaniels

[NorbertFe 2.032]

wie lautet denn die genaue Fehlermeldung?

[mcdaniels 29]

Gerade eben schrieb NorbertFe:

wie lautet denn die genaue Fehlermeldung?

hab ich jetzt oben ergänzt....

 

Was mich beschäftigt: Wieso fragt ein externer Server (irgendeiner) den internen DNS ab. Da stimmt doch was nicht....

[zahni 550]

Vielleicht hat das WAN via UPD doch Zugriff? Falsch konfigurierte Firewall? Oder der das Default Gateway reagiert UPNP?

Persönlich würde ich DC's keinen Internetzugriff erlauben.

 

Edit: Falls Du das optionale DNS-Debug meinst: Wenn der DC auf öffentliche DNS-Server weiterleitet, ist das natürlich normal. Irgendwie muss er ja externe Adressen auslösen.

bearbeitet 13. September 2022 von zahni

[mcdaniels 29]

Gerade eben schrieb zahni:

Vielleicht hat das WAN via UPD doch Zugriff?

Absolut ausgeschlossen. Es gibt keine Policy auf der Firewall, die einen Zugang von WAN nach LAN erlaubt.

 

Gerade eben schrieb zahni:

Persönlich würde ich DC's keinen Internetzugriff erlauben

Sehe ich auch so. Ist aber hier nicht der Fall.

 

Die Logs treten alle Sekunden auf. Und offenbar ist immer

0010: 65 7A 6F 6E 65 2D 64 6B ezone-*
0018: 0A 62 75 6E 6E 79 69 6E .bunnyin
0020: 66 72 61 03 6E 65 74 00 fra.net

 

involviert...

 

dort wo der * ist, variiert der Eintrag..

bearbeitet 13. September 2022 von mcdaniels

[zahni 550]

Bitte EventID und Quelle nennen.

 

Update: Im DNS eine Weiterleitung auf einen externen DNS einstellen und die Namensauflösung nicht über die Root-Zonen machen. Dann sollten die Meldungen verschwinden (zumindest lt. Google).

bearbeitet 13. September 2022 von zahni

[mcdaniels 29]

Grundsätzlich ist dieses Verhalten jedenfalls auch aus eurer Sicht (interner DC) nicht normal. Das ist ja schonmal was ;)

Gerade eben schrieb zahni:

Bitte EventID und Quelle nennen.

Event ID 5504

Quelle: DNS-SERVER-SERVICE

[zahni 550]

Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst.

 

https://social.technet.microsoft.com/Forums/ie/en-US/27d2015b-d107-433e-b944-279542a9d867/the-dns-server-encountered-an-invalid-domain-name-in-a-packet-from-1575611242?forum=winserveripamdhcpdns

bearbeitet 13. September 2022 von zahni

[mcdaniels 29]

vor 2 Stunden schrieb zahni:

Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst.

Ja er hat eine Weiterleitung auf die Provider DNS. Allerdings ist die (dachte ich) doch nur von intern nach extern. Sprich also, wenn er die Anfrage nicht selbst auflösen kann, geht er nach extern.

 

In dem Fall bekomm ich aber offenbar von extern DNS Anfragen herein (und das obwohl auf der Hardwarefirewall von extern (WAN) nach intern (LAN) keine Weiterleitung besteht.

 

Meinem Verständnis nach dürfte ja dann, selbst wenn der Server selbst Internet DNS macht, keine Anfrage von extern nach intern kommen.

bearbeitet 13. September 2022 von mcdaniels

[zahni 550]

Lies Dir den Link oben nochmal durch. Du bekommst eher eine ungültige Antwort von einem  externen DNS-Server.

Eine Abfrage nach ezone-*.bunnyinfra.net ist übrigens ungültig. Da ist kein Wildcard erlaubt. Wenn Du das DNS-Debug aktivierst, bekommst DU auch raus, wer diese Anfrage gestellt hat.

bunnyfra.net scheint ein CDN zu sein, wobei ich das nicht mit Sicherheit sagen kann. Könnte auch suspect sein.

bearbeitet 14. September 2022 von zahni

[schlingo 36]

vor einer Stunde schrieb zahni:

Eine Abfrage nach ezone-*.bunnyinfra.net ist übrigens ungültig. Da ist kein Wildcard erlaubt.

Hallo :)

 

vor 18 Stunden schrieb mcdaniels:

dort wo der * ist, variiert der Eintrag..

Gruß Ingo

[NorbertFe 2.032]

das mag sein, aber eine DNS Anfrage kann keine Wildcard verwenden. ;)

[schlingo 36]

vor 5 Stunden schrieb NorbertFe:

eine DNS Anfrage kann keine Wildcard verwenden

Hallo Norbert :)

 

ja, aber ich habe das so verstanden, dass an dieser Stelle statt des Asterisks wechselnde Zeichen stehen.

 

Gruß Ingo

[NorbertFe 2.032]

Ah jetzt ja. Ich hab da unten den als Fehlermeldung formatierten Nachsatz nicht gelesen. Danke für den Wink mit dem Tor. ;)

[mcdaniels 29]

Danke für eure Antworten. Ihr habt das mit dem * korrekt interpretiert. Hier wechseln die Zeichen.