locked
在防火牆上看到DNS一直在查詢HiNET的大量連線 RRS feed

  • 問題

  • 請問一下我在防火牆看到DC上的DNS一直對著Hinet的dns發出大量的查詢,而且連線數非常的多,請問這個問題要從哪邊查起,server 2008 r2 64bit,dns跟dc是同一台。
    2013年5月8日 上午 03:51

解答

  • DNS查詢是由本機發出的, 也可能是網絡內其他電腦查詢, AD DNS代為把DNS query投到Hinet DNS

    所以應該不是Hinet的問題噢, 有問題時, 查封包看看DNS Query那一個Domain Name看看它的Pattern有沒有問題吧

    如果太大量的查詢, 可能是電腦病毒或木馬造成, 正在找其他苦主或它的控制端口噢


    邊幫助, 邊鍛鍊

    • 已提議為解答 AChange 2013年5月14日 上午 02:01
    • 已標示為解答 AChange 2013年5月16日 上午 05:37
    2013年5月9日 上午 02:05

所有回覆

  • 微軟網站下載 (英文)

    Microsoft Network Monitor 3.4

    裝在 Server 上,等到異常時,開始擷取到你覺得夠了,有錄到,再來查封包。

    2013年5月8日 下午 04:47
  • 有裝了,目前早上看又是一切正常,會不會是Hinet的DNS有問題
    2013年5月9日 上午 01:48
  • DNS查詢是由本機發出的, 也可能是網絡內其他電腦查詢, AD DNS代為把DNS query投到Hinet DNS

    所以應該不是Hinet的問題噢, 有問題時, 查封包看看DNS Query那一個Domain Name看看它的Pattern有沒有問題吧

    如果太大量的查詢, 可能是電腦病毒或木馬造成, 正在找其他苦主或它的控制端口噢


    邊幫助, 邊鍛鍊

    • 已提議為解答 AChange 2013年5月14日 上午 02:01
    • 已標示為解答 AChange 2013年5月16日 上午 05:37
    2013年5月9日 上午 02:05
  • 有裝了,目前早上看又是一切正常,會不會是Hinet的DNS有問題

    基本上 DNS 不會主動去叫電腦快去問他網域名稱,
    若有大量的對外查詢狀況,很有可能像是 Justin Lau 所描述的狀況,
    這篇文章就有提到類似的攻擊:DNS攻擊老舊防不了 肇因仍在人與不良架構

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2013年5月9日 上午 06:34
  • 目前的狀態還是正常的狀態,若是公司內部的電腦造成,應該在防火牆上面會看到那台電腦的連線數暴增,但是很奇怪的只有DC一直在利用轉寄功能查詢Hinet dns,其他同仁的上網連線數也是有多達200多條,但是看連線的內容可以知道連到哪邊去,就DC上只能用Network Monitor去看到底是什麼在查詢,因為防火牆上面只有DC DNS到中華電信DNS的連線數,沒有其他的跳脫到其他線路的問題,若是中毒理論上不會都是指向同一台DNS而且只有DNS查詢,另外前幾天有借測防火牆,有在懷疑是否廠商在設定上開放到某一塊的NAT,因為之前有過一次經驗。
    2013年5月10日 上午 04:47
  • 公司的電腦DHCP是設定DNS使用DC的IP Address吧?? 還是客戶端直接用Hinet的DNS??

    假如用DC電腦上的DNS服務, 那麼只有DC這台機發放DNS Query就很正常嚕


    邊幫助, 邊鍛鍊

    2013年5月10日 上午 04:54
  • 假設有一台電腦是中毒的狀態,
    簡單也就是「只會發動大量 DNS 查詢攻擊」的殭屍電腦,
    但由於該電腦的 DNS 資訊是透過 DHCP 取得網域 DC;
    那麼最後狀況就是,
    該電腦對 DC 發動大量的查詢,
    但 DC 會有的網域名稱資訊大多只會有自己網域的,
    變成 DC 轉而向轉寄站發動查詢,
    而不會是該電腦直接對外產生大量的連線數。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2013年5月10日 上午 06:45
  • cilent端使用DHCP上指定的DNS,非指定外部DNS,而且同事沒有修改網路設定的權限,另外Network Monitor 是否是要看dns.exe走53 port進來的ip嗎?

    剛剛利用公司人數比較少的時候,清掉所有的快取,讓擷取的資訊比較清楚一點,有發現有一個裝置對mail server的連線數有

    將近90條,我想這應該不是正常的,走的是443,不確定是手機還是筆電還是桌機,要等明天大陸那邊的人有空閒,才有辦法查,是不是電腦中毒還是中木馬,這是目前我看到最可疑的一筆,其他有發現比較奇特的行為在來更新。


    2013年5月13日 上午 10:46