2
Herausfinden, welcher Client eine bestimmte DNS Anfrage gestellt hat
Hallo zusammen,
folgendes Problem: In unserer Firewall haben wir eine "Threat Protection" drin. Diese hat vor kurzem angeschlagen und weist darauf hin, dass ein Rechner im Netz versucht zu einem Botnetz-Server eine Verbindung herzustellen. Problem ist: Die Firewall meldet, dass der DNS-Server versucht, den Namen dieses Botnetz-Kontroll-Servers auflösen und loggt den DNS-Server als gefährdet. Dieser ist aber nachweislich Malware-frei.
Heißt: Irgendein Rechner im Netz will Verbindung zu einem Botnetz-Server aufbauen, stellt eine DNS-Anfrage an den DNS-Server und dieser erscheint in der Firewall. Problem ist, ich bekomme von der FW keinerlei Rückschlüsse, welcher PC diesen DNS-Request gestellt hat.
Daher meine Frage: Kann ich irgendwie auf einem Windows 2008 DNS Server mitprotokollieren, welcher Host eine bestimmte DNS-Auflösung anfragt? Gibt es da irgendwelche Möglichkeiten?
Über Ideen und Tipps wäre ich dankbar!
folgendes Problem: In unserer Firewall haben wir eine "Threat Protection" drin. Diese hat vor kurzem angeschlagen und weist darauf hin, dass ein Rechner im Netz versucht zu einem Botnetz-Server eine Verbindung herzustellen. Problem ist: Die Firewall meldet, dass der DNS-Server versucht, den Namen dieses Botnetz-Kontroll-Servers auflösen und loggt den DNS-Server als gefährdet. Dieser ist aber nachweislich Malware-frei.
Heißt: Irgendein Rechner im Netz will Verbindung zu einem Botnetz-Server aufbauen, stellt eine DNS-Anfrage an den DNS-Server und dieser erscheint in der Firewall. Problem ist, ich bekomme von der FW keinerlei Rückschlüsse, welcher PC diesen DNS-Request gestellt hat.
Daher meine Frage: Kann ich irgendwie auf einem Windows 2008 DNS Server mitprotokollieren, welcher Host eine bestimmte DNS-Auflösung anfragt? Gibt es da irgendwelche Möglichkeiten?
Über Ideen und Tipps wäre ich dankbar!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 259763
Url: https://administrator.de/contentid/259763
Printed on: April 20, 2024 at 01:04 o'clock
2 Comments
Latest comment
Hallo,
Ja, aber nicht mehr im nachhinein. @SlainteMhath hat dir ja gesagt wie es geht.
, welcher Host eine bestimmte
Ja, aber nicht mehr im nachhinein. @SlainteMhath hat dir ja gesagt wie es geht.
, welcher Host eine bestimmte
DNS-Auflösung anfragt? Gibt es da irgendwelche Möglichkeiten?
Über Ideen und Tipps wäre ich dankbar!
Über Ideen und Tipps wäre ich dankbar!
