1
Computer suchen DNS-Server ausserhalb des Netzes, ohne dass diese Adresse als DNS hinterlegt ist
Hallo zusammen,
einige Computer in meinem Netzwerk (Domäne W2K und W2K3) suchen einen DNS-Server ausserhalb meines Netzwerkes, welcher nicht bei der Netzwerkkarte hinterlegt ist.
Meine beiden DC sind auch gleichzeitig DNS-Server und bei jedem Rechner hinterlegt.
Adresse ist immer 192.175.48.X. Das ist Iana.org.
Welche Software macht das?
Besten Dank
Christian Weber
einige Computer in meinem Netzwerk (Domäne W2K und W2K3) suchen einen DNS-Server ausserhalb meines Netzwerkes, welcher nicht bei der Netzwerkkarte hinterlegt ist.
Meine beiden DC sind auch gleichzeitig DNS-Server und bei jedem Rechner hinterlegt.
Adresse ist immer 192.175.48.X. Das ist Iana.org.
Welche Software macht das?
Besten Dank
Christian Weber
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 57105
Url: https://administrator.de/contentid/57105
Printed on: April 23, 2024 at 16:04 o'clock
1 Comment
DNS-Zugriffe auf blackhole-1.iana.org, blackhole-2.iana.org und prisoner.iana.org
Von Namensservern, schwarzen Löchern und Gefangenen.
Mirko Kulpa, 29.10.2004
Das Problem
Oft werden in Logfiles oder bei Netzwerkanalysen DNS-Zugriffe auf folgende Namensserver registriert:
prisoner.iana.org 192.175.48.1
blackhole-1.iana.org 192.175.48.6
blackhole-2.iana.org 192.175.48.42
Diese drei Hosts sind DNS-Server die von der IANA zur Verfügung gestellt werden. Bis vor einiger Zeit war auch "blackhole.isi.edu" aktiv. Mitunter vermutet der Admin bei solchen Zugriffen dann einen Virus oder Trojaner auf seinen Systemen.
Die Ursache
Im RFC 1918 sind drei IP-Netze für den Gebrauch in privaten Netzen reserviert:
10.0.0.0 - 10.255.255.255 (10/8)
172.16.0.0 - 172.31.255.255 (172.16/12)
192.168.0.0 - 192.168.255.255 (192.168/16)
IP-Adressen aus diesen Netzen dürfen im Internet nicht verwendet werden. Die von der IANA bereitgestellten DNS-Server kümmern sich um diese Adressen und die entsprechenden Reverse-Zonen:
10.in-addr.arpa
16.172.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
168.192.in-addr.arpa
Alle Anfragen nach Adressen aus diesen Netzen und auch Reverse Lookups gehen an die drei genannten DNS-Server. Auch die Versuche von Windows sich dynamisch am DNS zu regsitrieren gelangen bei falscher Konfiguration der eigenen Infrastruktur an die Blackhole-Server und werden dort abgelehnt.
Die Lösung
Idealerweise sollten DNS-Server in privaten Netzen Request für Adressen aus dem RFC 1918 nicht in das Internet weiterleiten. Die entsprechenden Zonen muss der interne DNS-Server bedienen. Für kleine Netze ohne eigenes DNS gibt es die Möglichkeit, an den Clients die dynamische Registrierung der PTR-Records am DNS zu deaktivieren. Dazu wird der folgende Wert in der Registry auf "1" gesetzt.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DisableReverseAddressRegistrations
Type: REG_DWORD
Wert: 1
Von Namensservern, schwarzen Löchern und Gefangenen.
Mirko Kulpa, 29.10.2004
Das Problem
Oft werden in Logfiles oder bei Netzwerkanalysen DNS-Zugriffe auf folgende Namensserver registriert:
prisoner.iana.org 192.175.48.1
blackhole-1.iana.org 192.175.48.6
blackhole-2.iana.org 192.175.48.42
Diese drei Hosts sind DNS-Server die von der IANA zur Verfügung gestellt werden. Bis vor einiger Zeit war auch "blackhole.isi.edu" aktiv. Mitunter vermutet der Admin bei solchen Zugriffen dann einen Virus oder Trojaner auf seinen Systemen.
Die Ursache
Im RFC 1918 sind drei IP-Netze für den Gebrauch in privaten Netzen reserviert:
10.0.0.0 - 10.255.255.255 (10/8)
172.16.0.0 - 172.31.255.255 (172.16/12)
192.168.0.0 - 192.168.255.255 (192.168/16)
IP-Adressen aus diesen Netzen dürfen im Internet nicht verwendet werden. Die von der IANA bereitgestellten DNS-Server kümmern sich um diese Adressen und die entsprechenden Reverse-Zonen:
10.in-addr.arpa
16.172.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
168.192.in-addr.arpa
Alle Anfragen nach Adressen aus diesen Netzen und auch Reverse Lookups gehen an die drei genannten DNS-Server. Auch die Versuche von Windows sich dynamisch am DNS zu regsitrieren gelangen bei falscher Konfiguration der eigenen Infrastruktur an die Blackhole-Server und werden dort abgelehnt.
Die Lösung
Idealerweise sollten DNS-Server in privaten Netzen Request für Adressen aus dem RFC 1918 nicht in das Internet weiterleiten. Die entsprechenden Zonen muss der interne DNS-Server bedienen. Für kleine Netze ohne eigenes DNS gibt es die Möglichkeit, an den Clients die dynamische Registrierung der PTR-Records am DNS zu deaktivieren. Dazu wird der folgende Wert in der Registry auf "1" gesetzt.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DisableReverseAddressRegistrations
Type: REG_DWORD
Wert: 1
