Herausfinden, welcher Client eine bestimmte DNS Anfrage gestellt hat
Hallo zusammen,
folgendes Problem: In unserer Firewall haben wir eine "Threat Protection" drin. Diese hat vor kurzem angeschlagen und weist darauf hin, dass ein Rechner im Netz versucht zu einem Botnetz-Server eine Verbindung herzustellen. Problem ist: Die Firewall meldet, dass der DNS-Server versucht, den Namen dieses Botnetz-Kontroll-Servers auflösen und loggt den DNS-Server als gefährdet. Dieser ist aber nachweislich Malware-frei.
Heißt: Irgendein Rechner im Netz will Verbindung zu einem Botnetz-Server aufbauen, stellt eine DNS-Anfrage an den DNS-Server und dieser erscheint in der Firewall. Problem ist, ich bekomme von der FW keinerlei Rückschlüsse, welcher PC diesen DNS-Request gestellt hat.
Daher meine Frage: Kann ich irgendwie auf einem Windows 2008 DNS Server mitprotokollieren, welcher Host eine bestimmte DNS-Auflösung anfragt? Gibt es da irgendwelche Möglichkeiten?
Über Ideen und Tipps wäre ich dankbar!
folgendes Problem: In unserer Firewall haben wir eine "Threat Protection" drin. Diese hat vor kurzem angeschlagen und weist darauf hin, dass ein Rechner im Netz versucht zu einem Botnetz-Server eine Verbindung herzustellen. Problem ist: Die Firewall meldet, dass der DNS-Server versucht, den Namen dieses Botnetz-Kontroll-Servers auflösen und loggt den DNS-Server als gefährdet. Dieser ist aber nachweislich Malware-frei.
Heißt: Irgendein Rechner im Netz will Verbindung zu einem Botnetz-Server aufbauen, stellt eine DNS-Anfrage an den DNS-Server und dieser erscheint in der Firewall. Problem ist, ich bekomme von der FW keinerlei Rückschlüsse, welcher PC diesen DNS-Request gestellt hat.
Daher meine Frage: Kann ich irgendwie auf einem Windows 2008 DNS Server mitprotokollieren, welcher Host eine bestimmte DNS-Auflösung anfragt? Gibt es da irgendwelche Möglichkeiten?
Über Ideen und Tipps wäre ich dankbar!
Please also mark the comments that contributed to the solution of the article
Content-Key: 259763
Url: https://administrator.de/contentid/259763
Printed on: April 20, 2024 at 01:04 o'clock
2 Comments
Latest comment
Hallo,
Ja, aber nicht mehr im nachhinein. @SlainteMhath hat dir ja gesagt wie es geht.
, welcher Host eine bestimmte
Ja, aber nicht mehr im nachhinein. @SlainteMhath hat dir ja gesagt wie es geht.
, welcher Host eine bestimmte
DNS-Auflösung anfragt? Gibt es da irgendwelche Möglichkeiten?
Über Ideen und Tipps wäre ich dankbar!
Über Ideen und Tipps wäre ich dankbar!