Kryptischer Hostname in DNS Querys

Servus zusammen,

aufgrund eine Anfangsverdachts habe ich mittels DNSQuerySniffer meinen DNS Server auf Windows Server 2012 abgefragt, dabei vielen mir Einträge auf, wo der Hostname aus bis zu 865 Zeichen besteht, beispielhaft in dieser (verkürzten) Form: Vvz†ßcû
Õçì¸+µEò0·¢¤ Ö‹¶\.s‡¦IéÜ›äÏ•Ž

Zwar schickt der Client diese Anfrage an den DNS, und bekommt als Fehler "NAME ERROR" zurück geliefert. Ich habe nun drei Systeme im Netz, welche Anfragen dieser Art geschickt haben und diese erst mal vom Netz genommen.

Meine Frage: wer hat ähnliches schonmal beobachtet? Wie finde ich heraus, welche Anwendung Anfragen dieser Art sendet?

Danke für Eure Hilfe.

Viele Grüße, Peter

Please also mark the comments that contributed to the solution of the article

Content-Key: 289520

Url: https://administrator.de/contentid/289520

Printed on: April 25, 2024 at 10:04 o'clock

1 Comment

Hi,

Das schaut nach einem DNS-Tunnel aus.
Da du die drei Systeme schon identifiert hast, könntest du ja mal den Microsoft Network Monitor drauf laufen lassen. Damit man IMHO den Prozess identifzieren welcher die Pakete schickt.

mfg

Cthluhu

German Question DNS Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments