Помогите, пожалуйста, разобраться в возникшей проблеме.
В логах dns-сервера, обслуживающего AD, нахожу следующие перманентно повторяющиеся записи -
На DNS сервере обнаружено недопустимое имя домена в пакете от 209.130.152.244.
Пакет будет отклонен. В данных события содержится пакет DNS.
Код ID 5504.
Делаю nslookup , получаю что-то такое - available.limestonenetworks.com
Подскажите - что за напасть такая?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А с какой радости DNS, обслуживающий внутреннюю (по идее) сеть, вообще настроен принимать пакеты извне? Или у него попутно кэширование наружки настроено?
Можно в данных посмотреть, какое там недопустимое имя передаётся. Можно ещё попытаться выудить из логов источник запроса, на который приходит такой ответ (скорее всего, это именно ответ).
Вы совершенно правильно ухватили суть проблемы.
Вот и я понять не могу, при чем тут внешний ip.
Сервер не кеширующий.
Как " посмотреть в данных"?
Открыть для просмотра запись из хурнала. Там внизу данные в двоичном и символьном виде.
Я не знаю, как в MS DNS, а для BIND, например, можно ограничить подсети, с которыми он работает. Кто может у него спрашивать, от кого он может принимать апдейты.
Зона "." определена? Если да, то как?
Зона "." не определена. Насколько могу судить.
Как это посмотреть?
Кстати, первое, что сделал, взявшись за эту сетку - исправил конфликт, записи о котором нашел в логах DNS; было две копии зоны. (ID 4515, Зона xxxx.xxx.xx была ранее загружена из раздела каталога MicrosoftDNS, однако в разделе каталога DomainDnsZones.xxxx.xxx.xx обнаружена другая копия зоны. DNS-сервер будет игнорировать новую копию зоны. Этот конфликт должен быть разрешен максимально быстро и т.д.)
Не знаю, есть ли здесь связь; но обе эти проблемы существовали параллельно.
Вот запись из журнала. Что с ней делать?
слова 0000: 0580dc57 00000000 00000000
Может глупо, но все-же: посмотрите, в свойствах DNS-сервера в закладке "Пересылка" (в английском варианте, думаю, "forwarding") точно нет никаких левых адресов?
Там вообще никаких адресов; инет идет через proxy.
UDP-пакеты так просто через прокси не бегают. То есть, машина сама по себе наружу не глядит, маршрутов наружу не имеет, и снаружи к ней 53 порт не проброшен?
Хм... можете объяснить мне кое-что?
Здесь два полномочных dns-а; forwarding не настроен ни на одном. Тем не менее - запускаю cmd на любой раб. станции, ping mail.ru , и все получается - имя разрешено. Каким образом удается осуществить итерационный запрос к dns прова? если пересылка не настроена, а в свойствах tcp прописаны только полномочные для домена dns?
Правда, в свойствах dns, на вкладке Дополнительно расставлены галки в чек-боксах
Дополнительные службы BIND
Включить циклическое обслуживание
Включить расстановку по адресу
Включить безопасный кэш
Но все равно; как это возможно?
НУ я бы посмотрел что скажет
nslookup mail.ru
относительно dns понятно... инет шел по корневым ссылкам, как и следовало ожидать... раз уж форвардинга нет.
Но буду благодарен, Rimlyanin, если скажешь что-нить по др. вопросам, из-за которых и поднималась эта тема.
Ваши права в разделе
Ответить с цитированием
