none
dns_decoder: DNS.Name.Overflow Windows Server R2 2003 STD RRS feed

  • Pregunta

  • Hola, tengo problemas con unas alertas detectadas.

    Aparentemente mi AD (192.1.1.10) esta sin problemas pero....

    el Firewall me muestra otra cosa...

     

     

    Transacciones más recientes(máximo 20).     
    Fecha y Hora                       Desde                  Para          Servicio         Ataque
    2010-06-10 08:28:45     195.34.161.132     192.1.1.10     53194/udp     dns_decoder: DNS.Name.Overflow
    2010-06-10 08:28:37     62.116.163.100     192.1.1.10     60194/udp     dns_decoder: DNS.Name.Overflow
    2010-06-09 08:08:47     62.116.163.100     192.1.1.10     58296/udp     dns_decoder: DNS.Name.Overflow
    2010-06-08 20:10:44     190.46.220.210     192.1.1.14     http     http_decoder: HTTP.Request.Smuggling
    2010-06-08 20:10:44     190.46.220.210     192.1.1.14     http     http_decoder: HTTP.Request.Smuggling
    2010-06-08 16:42:24     192.1.1.153     74.200.228.181     http     a-ipdf: HTTP.URI.Overflow
    2010-06-08 12:22:16     161.25.178.51     192.1.1.159     49171/tcp     http_decoder: HTTP.Request.Smuggling
    2010-06-08 12:22:01     161.25.178.51     192.1.1.159     49168/tcp     http_decoder: HTTP.Request.Smuggling
    2010-06-08 08:28:38     62.116.163.100     192.1.1.10     54575/udp     dns_decoder: DNS.Name.Overflow
    2010-06-06 09:36:34     64.207.128.18     192.1.1.10     51743/udp     dns_decoder: DNS.Name.Overflow
    2010-06-05 18:29:50     62.116.163.100     192.1.1.10     60305/udp     dns_decoder: DNS.Name.Overflow
    2010-06-05 04:58:11     62.116.163.100     192.1.1.10     54735/udp     dns_decoder: DNS.Name.Overflow
    2010-06-04 15:32:23     200.54.154.226     192.1.1.94     3789/tcp     http_decoder: HTTP.Request.Smuggling
    2010-06-04 15:32:19     200.54.154.226     192.1.1.94     3788/tcp     http_decoder: HTTP.Request.Smuggling
    2010-06-04 09:31:06     161.25.178.51     192.1.1.54     1757/tcp     http_decoder: HTTP.Request.Smuggling
    2010-06-04 09:26:11     161.25.178.51     192.1.1.88     3334/tcp     http_decoder: HTTP.Request.Smuggling
    2010-06-04 09:16:27     161.25.178.51     192.1.1.88     3320/tcp     http_decoder: HTTP.Request.Smuggling
    2010-06-04 09:16:19     161.25.178.51     192.1.1.88     3319/tcp     http_decoder: HTTP.Request.Smuggling
    2010-06-04 09:16:07     161.25.178.51     192.1.1.88     3308/tcp     http_decoder: HTTP.Request.Smuggling
    2010-06-04 09:15:59     161.25.178.51     192.1.1.88     3307/tcp     http_decoder: HTTP.Request.Smugglingo

    jueves, 10 de junio de 2010 17:06

Respuestas

  • Me refiero al firewall externo, no al de Windows en mi pregunta

    ¿Consultaste el enlace que puese?

    También debes tener en cuenta que el direccionamiento IP que estás usando no es el adecuado, porque son direcciones válias de Internet, y por eso pueden estar atacándote.

    Para uso privado es 192.168.0.0 /16

    La red 192.1.0.0 son direcciones públicas. Pego la información:

    OrgName: BBN Communications

    OrgID: BBNP

    Address: 10 Moulton Street

    City: Cambridge

    StateProv: MA

    PostalCode: 02138

    Country: US

    NetRange: 192.1.0.0 - 192.1.255.255

    CIDR: 192.1.0.0/16

    NetName: BBN-CNETBLK

    NetHandle: NET-192-1-0-0-1

    Parent: NET-192-0-0-0-0

    NetType: Direct Allocation

    NameServer: NS4.BBN.COM

    NameServer: NS5.BBN.COM

    Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE

    RegDate: 1989-01-04

    Updated: 2005-07-14

    RTechHandle: SM789-ARIN

    RTechName: Milligan, Stephen

    RTechPhone: +1-617-873-3369

    RTechEmail: milligan@bbn.com

    OrgTechHandle: SM789-ARIN

    OrgTechName: Milligan, Stephen

    OrgTechPhone: +1-617-873-3369

    OrgTechEmail: milligan@bbn.com

    CustName: Bolt Beranek and Newman Inc.

    Address: 10 Moulton Street

    City: Cambridge

    StateProv: MA

    PostalCode: 02138

    Country: US

    RegDate: 1992-04-21

    Updated: 2000-04-28

    NetRange: 192.1.1.0 - 192.1.1.255

    CIDR: 192.1.1.0/24

    NetName: BBN-WAN

    NetHandle: NET-192-1-1-0-1

    Parent: NET-192-1-0-0-1

    NetType: Reassigned

    Comment:

    RegDate: 1992-04-21

    Updated: 2000-04-28

    RTechHandle: SM789-ARIN

    RTechName: Milligan, Stephen

    RTechPhone: +1-617-873-3369

    RTechEmail: milligan@bbn.com

    OrgTechHandle: SM789-ARIN

    OrgTechName: Milligan, Stephen

    OrgTechPhone: +1-617-873-3369

    OrgTechEmail: milligan@bbn.com

    # ARIN WHOIS database, last updated 2010-06-10 20:00

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 11 de junio de 2010 10:42
    Moderador
  • Miguel, el tema del log lo tienes en el cortafuegos, que no es un Windows.

    Por eso te sugerí que busques la información en el enlace correspondiente al fabricante de mismo, ya que  tampoco me dices qué marca firewall se trata.

    Si el log lo estás viendo en el firewall de Interne, nada tiene que ver el de Windows.

    Tampoco puedo saber qué cambios estuvo haciendo tu compañero en el DNS, así no puedo ayudarte.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 11 de junio de 2010 19:55
    Moderador

Todas las respuestas

  • Cuales es el ID Event??y que sintomas estas presentando ?
    Saludos
    JA
    Jose Antonio Cermeño- Caracas-Venezuela
    jueves, 10 de junio de 2010 19:55
  • EL evento 2010-06-05 18:29:50     62.116.163.100     192.1.1.10     60305/udp     dns_decoder: DNS.Name.Overflow

    No mostro en el AD nada

     

    lo ultimo que aparece es esto a las 17:01:30

    Luego Salta al día 10-05

     

    Evento de DNS AD

    El servidor DNS ha actualizado sus propios registros de host (A). Para asegurarse de que sus servidores DNS integrados en DS pueden replicarse con este servidor, se intentó actualizarlos con los nuevos registros mediante una actualización dinámica. Hubo un error durante una actualización; los datos del registro son el código de error.
     
    Si este servidor DNS no tiene ningún homólogo integrado DS, este error debe
    ignorarse.
     
    Si los asociados de replicación de Active Directory de este servidor DNS no tienen las direcciones IP correctas para este servidor, no podrán replicarse con él.
     
    Para asegurar una replicación correcta:
    1) Busque los asociados de replicación de Active Directory de este servidor que ejecuten el servidor DNS.
    2) Abra el Administrador DNS y conecte con cada uno de los asociados de replicación.
    3) En cada servidor, compruebe el registro de host (registro A) para ESTE servidor.
    4) Elimine cualquier registro A que NO corresponda con direcciones IP de este servidor.
    5) Si no hay ningún registro A para este servidor, agregue al menos un registro A que corresponda a una dirección de este servidor y con el que pueda ponerse en contacto el asociado de replicación. (Es decir, si hay varias direcciones IP para este servidor DNS, agregue al menos una de la misma red que el servidor DNS de Active Directory que esté actualizando.)
    6) Tenga en cuenta que no es necesario actualizar TODOS los asociados de replicación. Sólo es necesario reparar los registros en suficientes asociados de replicación como para que todos los servidores que se repliquen con éste reciban (mediante replicación) los nuevos datos.

    Para obtener más información, vea el Centro de ayuda y soporte técnico en

    jueves, 10 de junio de 2010 20:17
  • Miguel, esos eventos son del firewall, y por las direcciones IP son externas.
    Deberías consultar la documentación o el sitio de soporte del firewall para poder interpretarlas correctamente.

    Las dos primeras son de Alemania, la siguiente de Chile, etc. Hay de todo ahí :-)

    Revisa esto http://docs.fortinet.com/fgt/archives/2.8MR11/01_28011_0080_20051117_FortiGate_IPS_Guide.pdf

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 10 de junio de 2010 20:17
    Moderador
  • Sip... puede ser porque tengo mi FW abajo

    el de Windows ?

     

     

    Si lo quiero subir por ejemplo....

     

    que reglas tengo que dejar en el FW ??

     

     

    jueves, 10 de junio de 2010 20:30
  • Me refiero al firewall externo, no al de Windows en mi pregunta

    ¿Consultaste el enlace que puese?

    También debes tener en cuenta que el direccionamiento IP que estás usando no es el adecuado, porque son direcciones válias de Internet, y por eso pueden estar atacándote.

    Para uso privado es 192.168.0.0 /16

    La red 192.1.0.0 son direcciones públicas. Pego la información:

    OrgName: BBN Communications

    OrgID: BBNP

    Address: 10 Moulton Street

    City: Cambridge

    StateProv: MA

    PostalCode: 02138

    Country: US

    NetRange: 192.1.0.0 - 192.1.255.255

    CIDR: 192.1.0.0/16

    NetName: BBN-CNETBLK

    NetHandle: NET-192-1-0-0-1

    Parent: NET-192-0-0-0-0

    NetType: Direct Allocation

    NameServer: NS4.BBN.COM

    NameServer: NS5.BBN.COM

    Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE

    RegDate: 1989-01-04

    Updated: 2005-07-14

    RTechHandle: SM789-ARIN

    RTechName: Milligan, Stephen

    RTechPhone: +1-617-873-3369

    RTechEmail: milligan@bbn.com

    OrgTechHandle: SM789-ARIN

    OrgTechName: Milligan, Stephen

    OrgTechPhone: +1-617-873-3369

    OrgTechEmail: milligan@bbn.com

    CustName: Bolt Beranek and Newman Inc.

    Address: 10 Moulton Street

    City: Cambridge

    StateProv: MA

    PostalCode: 02138

    Country: US

    RegDate: 1992-04-21

    Updated: 2000-04-28

    NetRange: 192.1.1.0 - 192.1.1.255

    CIDR: 192.1.1.0/24

    NetName: BBN-WAN

    NetHandle: NET-192-1-1-0-1

    Parent: NET-192-1-0-0-1

    NetType: Reassigned

    Comment:

    RegDate: 1992-04-21

    Updated: 2000-04-28

    RTechHandle: SM789-ARIN

    RTechName: Milligan, Stephen

    RTechPhone: +1-617-873-3369

    RTechEmail: milligan@bbn.com

    OrgTechHandle: SM789-ARIN

    OrgTechName: Milligan, Stephen

    OrgTechPhone: +1-617-873-3369

    OrgTechEmail: milligan@bbn.com

    # ARIN WHOIS database, last updated 2010-06-10 20:00

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 11 de junio de 2010 10:42
    Moderador
  •  

    mmmm

     

    El problema que mi compañero estuvo modificando el DNS interno del AD, lo hizo para activar OPEN DNS

    Para el filtro URL, además en el listado que me arrojo el LOG del FW (hardware)

    Aparece una IP Interna 192.1.1.153    

    2010-06-08 16:42:24     192.1.1.153     74.200.228.181     http     a-ipdf: HTTP.URI.Overflow

      Esta IP no tengo registro en el DNS interno y DHCP.

     

     

    Solamente se tiene que hacer algo en el FW?

    y en Windows en mi AD nada?

     

     

    viernes, 11 de junio de 2010 13:27
  • Miguel, el tema del log lo tienes en el cortafuegos, que no es un Windows.

    Por eso te sugerí que busques la información en el enlace correspondiente al fabricante de mismo, ya que  tampoco me dices qué marca firewall se trata.

    Si el log lo estás viendo en el firewall de Interne, nada tiene que ver el de Windows.

    Tampoco puedo saber qué cambios estuvo haciendo tu compañero en el DNS, así no puedo ayudarte.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 11 de junio de 2010 19:55
    Moderador
  • OK dejame ver..
    lunes, 14 de junio de 2010 16:50