PDA

Просмотр полной версии : проблема с dns или троян?



aleksejsmir
10.04.2008, 08:45
Помогите, пожалуйста, разобраться в возникшей проблеме.
В логах dns-сервера, обслуживающего AD, нахожу следующие перманентно повторяющиеся записи -

На DNS сервере обнаружено недопустимое имя домена в пакете от 209.130.152.244.
Пакет будет отклонен. В данных события содержится пакет DNS.
Код ID 5504.

Делаю nslookup , получаю что-то такое - available.limestonenetworks.com

Подскажите - что за напасть такая?

pig
10.04.2008, 09:43
А с какой радости DNS, обслуживающий внутреннюю (по идее) сеть, вообще настроен принимать пакеты извне? Или у него попутно кэширование наружки настроено?

Можно в данных посмотреть, какое там недопустимое имя передаётся. Можно ещё попытаться выудить из логов источник запроса, на который приходит такой ответ (скорее всего, это именно ответ).

aleksejsmir
10.04.2008, 10:02
Вы совершенно правильно ухватили суть проблемы.
:)
Вот и я понять не могу, при чем тут внешний ip.
Сервер не кеширующий.

Как " посмотреть в данных"?

pig
10.04.2008, 18:51
Открыть для просмотра запись из хурнала. Там внизу данные в двоичном и символьном виде.

Я не знаю, как в MS DNS, а для BIND, например, можно ограничить подсети, с которыми он работает. Кто может у него спрашивать, от кого он может принимать апдейты.

Зона "." определена? Если да, то как?

aleksejsmir
11.04.2008, 08:45
Зона "." не определена. Насколько могу судить.
Как это посмотреть?

Кстати, первое, что сделал, взявшись за эту сетку - исправил конфликт, записи о котором нашел в логах DNS; было две копии зоны. (ID 4515, Зона xxxx.xxx.xx была ранее загружена из раздела каталога MicrosoftDNS, однако в разделе каталога DomainDnsZones.xxxx.xxx.xx обнаружена другая копия зоны. DNS-сервер будет игнорировать новую копию зоны. Этот конфликт должен быть разрешен максимально быстро и т.д.)
Не знаю, есть ли здесь связь; но обе эти проблемы существовали параллельно.

Вот запись из журнала. Что с ней делать?
слова 0000: 0580dc57 00000000 00000000

Numb
11.04.2008, 09:01
Может глупо, но все-же: посмотрите, в свойствах DNS-сервера в закладке "Пересылка" (в английском варианте, думаю, "forwarding") точно нет никаких левых адресов?

aleksejsmir
11.04.2008, 09:17
Там вообще никаких адресов; инет идет через proxy.

pig
11.04.2008, 10:11
UDP-пакеты так просто через прокси не бегают. То есть, машина сама по себе наружу не глядит, маршрутов наружу не имеет, и снаружи к ней 53 порт не проброшен?

aleksejsmir
14.04.2008, 15:19
Хм... можете объяснить мне кое-что?
Здесь два полномочных dns-а; forwarding не настроен ни на одном. Тем не менее - запускаю cmd на любой раб. станции, ping mail.ru , и все получается - имя разрешено. Каким образом удается осуществить итерационный запрос к dns прова? если пересылка не настроена, а в свойствах tcp прописаны только полномочные для домена dns?
Правда, в свойствах dns, на вкладке Дополнительно расставлены галки в чек-боксах
Дополнительные службы BIND
Включить циклическое обслуживание
Включить расстановку по адресу
Включить безопасный кэш

Но все равно; как это возможно?

Rimlyanin
30.05.2008, 07:04
НУ я бы посмотрел что скажет
nslookup mail.ru

aleksejsmir
30.05.2008, 10:09
относительно dns понятно... инет шел по корневым ссылкам, как и следовало ожидать... раз уж форвардинга нет.
Но буду благодарен, Rimlyanin, если скажешь что-нить по др. вопросам, из-за которых и поднималась эта тема.