forum.opennet.ru - "Как отследить DNS-запросы?" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Как отследить DNS-запросы?"

Форум Информационная безопасность (Обнаружение и предотвращение атак / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Как отследить DNS-запросы?"	+/–
Сообщение от Dan Swano on 06-Июл-10, 11:11
Здравствуйте. Ситуация такая: на шлюзе стоит кэширующий DNS-сервер (9.3.4). В syslog попадает много сообщений вида: ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 195.14.50.1#53 ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 85.21.192.3#53 ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 213.234.192.8#53 ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.97.100#53 ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.96.200#53 DNS-сервер обслуживает внутреннюю локальную сеть. Я так понимаю, это сетевые черви-троянцы пытаются найти почтовые релеи? Как определить, от каких компьютеров приходят запросы?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Как отследить DNS-запросы?, lamonymous, 11:49 , 06-Июл-10, (1)

Как отследить DNS-запросы?, sopisia, 20:50 , 23-Июл-10, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Как отследить DNS-запросы?" +/–

Сообщение от lamonymous on 06-Июл-10, 11:49

>[оверквотинг удален]
>
>ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 195.14.50.1#53
>ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 85.21.192.3#53
>ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 213.234.192.8#53
>ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.97.100#53
>ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.96.200#53
>
>DNS-сервер обслуживает внутреннюю локальную сеть.
>Я так понимаю, это сетевые черви-троянцы пытаются найти почтовые релеи?
>Как определить, от каких компьютеров приходят запросы?
Навскидку вижу 2 способа:
1) включить логирование запросов в BIND
2) включить tcpdump на слушание порта 53 UDP

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Как отследить DNS-запросы?" +/–

Сообщение от sopisia (ok) on 23-Июл-10, 20:50

wireshark

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как отследить DNS-запросы?"	+/–
Сообщение от lamonymous on 06-Июл-10, 11:49
>[оверквотинг удален] > >ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 195.14.50.1#53 >ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 85.21.192.3#53 >ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 213.234.192.8#53 >ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.97.100#53 >ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.96.200#53 > >DNS-сервер обслуживает внутреннюю локальную сеть. >Я так понимаю, это сетевые черви-троянцы пытаются найти почтовые релеи? >Как определить, от каких компьютеров приходят запросы? Навскидку вижу 2 способа: 1) включить логирование запросов в BIND 2) включить tcpdump на слушание порта 53 UDP
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Как отследить DNS-запросы?"	+/–
	Сообщение от sopisia (ok) on 23-Июл-10, 20:50
	wireshark
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору