Principales respuestas
dns_decoder: DNS.Name.Overflow Windows Server R2 2003 STD

Pregunta
-
Hola, tengo problemas con unas alertas detectadas.
Aparentemente mi AD (192.1.1.10) esta sin problemas pero....
el Firewall me muestra otra cosa...
Transacciones más recientes(máximo 20).
Fecha y Hora Desde Para Servicio Ataque
2010-06-10 08:28:45 195.34.161.132 192.1.1.10 53194/udp dns_decoder: DNS.Name.Overflow
2010-06-10 08:28:37 62.116.163.100 192.1.1.10 60194/udp dns_decoder: DNS.Name.Overflow
2010-06-09 08:08:47 62.116.163.100 192.1.1.10 58296/udp dns_decoder: DNS.Name.Overflow
2010-06-08 20:10:44 190.46.220.210 192.1.1.14 http http_decoder: HTTP.Request.Smuggling
2010-06-08 20:10:44 190.46.220.210 192.1.1.14 http http_decoder: HTTP.Request.Smuggling
2010-06-08 16:42:24 192.1.1.153 74.200.228.181 http a-ipdf: HTTP.URI.Overflow
2010-06-08 12:22:16 161.25.178.51 192.1.1.159 49171/tcp http_decoder: HTTP.Request.Smuggling
2010-06-08 12:22:01 161.25.178.51 192.1.1.159 49168/tcp http_decoder: HTTP.Request.Smuggling
2010-06-08 08:28:38 62.116.163.100 192.1.1.10 54575/udp dns_decoder: DNS.Name.Overflow
2010-06-06 09:36:34 64.207.128.18 192.1.1.10 51743/udp dns_decoder: DNS.Name.Overflow
2010-06-05 18:29:50 62.116.163.100 192.1.1.10 60305/udp dns_decoder: DNS.Name.Overflow
2010-06-05 04:58:11 62.116.163.100 192.1.1.10 54735/udp dns_decoder: DNS.Name.Overflow
2010-06-04 15:32:23 200.54.154.226 192.1.1.94 3789/tcp http_decoder: HTTP.Request.Smuggling
2010-06-04 15:32:19 200.54.154.226 192.1.1.94 3788/tcp http_decoder: HTTP.Request.Smuggling
2010-06-04 09:31:06 161.25.178.51 192.1.1.54 1757/tcp http_decoder: HTTP.Request.Smuggling
2010-06-04 09:26:11 161.25.178.51 192.1.1.88 3334/tcp http_decoder: HTTP.Request.Smuggling
2010-06-04 09:16:27 161.25.178.51 192.1.1.88 3320/tcp http_decoder: HTTP.Request.Smuggling
2010-06-04 09:16:19 161.25.178.51 192.1.1.88 3319/tcp http_decoder: HTTP.Request.Smuggling
2010-06-04 09:16:07 161.25.178.51 192.1.1.88 3308/tcp http_decoder: HTTP.Request.Smuggling
2010-06-04 09:15:59 161.25.178.51 192.1.1.88 3307/tcp http_decoder: HTTP.Request.Smugglingo
Respuestas
-
Me refiero al firewall externo, no al de Windows en mi pregunta
¿Consultaste el enlace que puese?
También debes tener en cuenta que el direccionamiento IP que estás usando no es el adecuado, porque son direcciones válias de Internet, y por eso pueden estar atacándote.
Para uso privado es 192.168.0.0 /16
La red 192.1.0.0 son direcciones públicas. Pego la información:
OrgName: BBN Communications
OrgID: BBNP
Address: 10 Moulton Street
City: Cambridge
StateProv: MA
PostalCode: 02138
Country: US
NetRange: 192.1.0.0 - 192.1.255.255
CIDR: 192.1.0.0/16
NetName: BBN-CNETBLK
NetHandle: NET-192-1-0-0-1
Parent: NET-192-0-0-0-0
NetType: Direct Allocation
NameServer: NS4.BBN.COM
NameServer: NS5.BBN.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 1989-01-04
Updated: 2005-07-14
RTechHandle: SM789-ARIN
RTechName: Milligan, Stephen
RTechPhone: +1-617-873-3369
RTechEmail: milligan@bbn.com
OrgTechHandle: SM789-ARIN
OrgTechName: Milligan, Stephen
OrgTechPhone: +1-617-873-3369
OrgTechEmail: milligan@bbn.com
CustName: Bolt Beranek and Newman Inc.
Address: 10 Moulton Street
City: Cambridge
StateProv: MA
PostalCode: 02138
Country: US
RegDate: 1992-04-21
Updated: 2000-04-28
NetRange: 192.1.1.0 - 192.1.1.255
CIDR: 192.1.1.0/24
NetName: BBN-WAN
NetHandle: NET-192-1-1-0-1
Parent: NET-192-1-0-0-1
NetType: Reassigned
Comment:
RegDate: 1992-04-21
Updated: 2000-04-28
RTechHandle: SM789-ARIN
RTechName: Milligan, Stephen
RTechPhone: +1-617-873-3369
RTechEmail: milligan@bbn.com
OrgTechHandle: SM789-ARIN
OrgTechName: Milligan, Stephen
OrgTechPhone: +1-617-873-3369
OrgTechEmail: milligan@bbn.com
# ARIN WHOIS database, last updated 2010-06-10 20:00
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina- Marcado como respuesta Atilla ArrudaModerator lunes, 14 de junio de 2010 15:26
-
Miguel, el tema del log lo tienes en el cortafuegos, que no es un Windows.
Por eso te sugerí que busques la información en el enlace correspondiente al fabricante de mismo, ya que tampoco me dices qué marca firewall se trata.
Si el log lo estás viendo en el firewall de Interne, nada tiene que ver el de Windows.
Tampoco puedo saber qué cambios estuvo haciendo tu compañero en el DNS, así no puedo ayudarte.
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina- Marcado como respuesta Atilla ArrudaModerator lunes, 14 de junio de 2010 15:26
Todas las respuestas
-
-
EL evento 2010-06-05 18:29:50 62.116.163.100 192.1.1.10 60305/udp dns_decoder: DNS.Name.Overflow
No mostro en el AD nada
lo ultimo que aparece es esto a las 17:01:30
Luego Salta al día 10-05
Evento de DNS AD
El servidor DNS ha actualizado sus propios registros de host (A). Para asegurarse de que sus servidores DNS integrados en DS pueden replicarse con este servidor, se intentó actualizarlos con los nuevos registros mediante una actualización dinámica. Hubo un error durante una actualización; los datos del registro son el código de error.
Si este servidor DNS no tiene ningún homólogo integrado DS, este error debe
ignorarse.
Si los asociados de replicación de Active Directory de este servidor DNS no tienen las direcciones IP correctas para este servidor, no podrán replicarse con él.
Para asegurar una replicación correcta:
1) Busque los asociados de replicación de Active Directory de este servidor que ejecuten el servidor DNS.
2) Abra el Administrador DNS y conecte con cada uno de los asociados de replicación.
3) En cada servidor, compruebe el registro de host (registro A) para ESTE servidor.
4) Elimine cualquier registro A que NO corresponda con direcciones IP de este servidor.
5) Si no hay ningún registro A para este servidor, agregue al menos un registro A que corresponda a una dirección de este servidor y con el que pueda ponerse en contacto el asociado de replicación. (Es decir, si hay varias direcciones IP para este servidor DNS, agregue al menos una de la misma red que el servidor DNS de Active Directory que esté actualizando.)
6) Tenga en cuenta que no es necesario actualizar TODOS los asociados de replicación. Sólo es necesario reparar los registros en suficientes asociados de replicación como para que todos los servidores que se repliquen con éste reciban (mediante replicación) los nuevos datos.
Para obtener más información, vea el Centro de ayuda y soporte técnico en -
Miguel, esos eventos son del firewall, y por las direcciones IP son externas.
Deberías consultar la documentación o el sitio de soporte del firewall para poder interpretarlas correctamente.Las dos primeras son de Alemania, la siguiente de Chile, etc. Hay de todo ahí :-)
Revisa esto http://docs.fortinet.com/fgt/archives/2.8MR11/01_28011_0080_20051117_FortiGate_IPS_Guide.pdf
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina -
-
Me refiero al firewall externo, no al de Windows en mi pregunta
¿Consultaste el enlace que puese?
También debes tener en cuenta que el direccionamiento IP que estás usando no es el adecuado, porque son direcciones válias de Internet, y por eso pueden estar atacándote.
Para uso privado es 192.168.0.0 /16
La red 192.1.0.0 son direcciones públicas. Pego la información:
OrgName: BBN Communications
OrgID: BBNP
Address: 10 Moulton Street
City: Cambridge
StateProv: MA
PostalCode: 02138
Country: US
NetRange: 192.1.0.0 - 192.1.255.255
CIDR: 192.1.0.0/16
NetName: BBN-CNETBLK
NetHandle: NET-192-1-0-0-1
Parent: NET-192-0-0-0-0
NetType: Direct Allocation
NameServer: NS4.BBN.COM
NameServer: NS5.BBN.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 1989-01-04
Updated: 2005-07-14
RTechHandle: SM789-ARIN
RTechName: Milligan, Stephen
RTechPhone: +1-617-873-3369
RTechEmail: milligan@bbn.com
OrgTechHandle: SM789-ARIN
OrgTechName: Milligan, Stephen
OrgTechPhone: +1-617-873-3369
OrgTechEmail: milligan@bbn.com
CustName: Bolt Beranek and Newman Inc.
Address: 10 Moulton Street
City: Cambridge
StateProv: MA
PostalCode: 02138
Country: US
RegDate: 1992-04-21
Updated: 2000-04-28
NetRange: 192.1.1.0 - 192.1.1.255
CIDR: 192.1.1.0/24
NetName: BBN-WAN
NetHandle: NET-192-1-1-0-1
Parent: NET-192-1-0-0-1
NetType: Reassigned
Comment:
RegDate: 1992-04-21
Updated: 2000-04-28
RTechHandle: SM789-ARIN
RTechName: Milligan, Stephen
RTechPhone: +1-617-873-3369
RTechEmail: milligan@bbn.com
OrgTechHandle: SM789-ARIN
OrgTechName: Milligan, Stephen
OrgTechPhone: +1-617-873-3369
OrgTechEmail: milligan@bbn.com
# ARIN WHOIS database, last updated 2010-06-10 20:00
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina- Marcado como respuesta Atilla ArrudaModerator lunes, 14 de junio de 2010 15:26
-
mmmm
El problema que mi compañero estuvo modificando el DNS interno del AD, lo hizo para activar OPEN DNS
Para el filtro URL, además en el listado que me arrojo el LOG del FW (hardware)
Aparece una IP Interna 192.1.1.153
2010-06-08 16:42:24 192.1.1.153 74.200.228.181 http a-ipdf: HTTP.URI.Overflow
Esta IP no tengo registro en el DNS interno y DHCP.
Solamente se tiene que hacer algo en el FW?
y en Windows en mi AD nada?
-
Miguel, el tema del log lo tienes en el cortafuegos, que no es un Windows.
Por eso te sugerí que busques la información en el enlace correspondiente al fabricante de mismo, ya que tampoco me dices qué marca firewall se trata.
Si el log lo estás viendo en el firewall de Interne, nada tiene que ver el de Windows.
Tampoco puedo saber qué cambios estuvo haciendo tu compañero en el DNS, así no puedo ayudarte.
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina- Marcado como respuesta Atilla ArrudaModerator lunes, 14 de junio de 2010 15:26
-