Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Erkennung und -Abwehr

DNS-Spoofing

Mitglied: Jonapap

Jonapap (Level 1) - Jetzt verbinden

12.08.2008, aktualisiert 24.10.2008, 7168 Aufrufe, 5 Kommentare

Hallo

Umgebung:
Verbindung zum Internet über Router (Draytek Vigor 2600+)
Server: Windows SBS 2003 mit SP2 / alle updates

In unregelmäßigen Abständen wird folgende Informationsmeldung im Ereignisprotokoll unseres Domänen-Controllers protokolliert:

Ereignistyp: Informationen
Ereignisquelle: DNS
Ereigniskategorie: Keine
Ereigniskennung: 5504
Datum: 10.08.2008
Zeit: 02:58:43
Benutzer: Nicht zutreffend
Computer: S3
Beschreibung:
Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 209.130.152.244 festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: f4 83 80 05 00 00 00 00 ô??.....
0008: 00 00 00 00 ....

Die IP 209.130.152.244 ist in Canada registriert. Ich vermute hinter den ungültigen DNS-Paketen einen Angriff und weil die IP-Adresse des Verursachers immer gleich bleibt, würde ich diesen gerne in unserem Router komplett blockieren.
Hier ein Bildschirmfoto von der Konfigurationsmaske unseres Routers:

ffdc9cd1ef0ea883210e311b8adccedc-vigor - Klicke auf das Bild, um es zu vergrößern

Leider kommen die ungültigen Pakete auch nach diesem Eintrag noch bei unserem DNS-Server an. Was mache ich falsch, oder was kann ich sonst noch gegen solche Angriffe unternehmen?
Mitglied: harald21
12.08.2008 um 08:14 Uhr
Hallo,

die angezeigt Regel ist mit "Filter 2 Regel 7" beschriftet, normnalerweise werden bei Firewalls die Regeln der Reihe nach abgearbeitet und die erste zutreffende Regel wird angewendet. Du solltest also darauf achten, das die Block-Regel als erstes angewendet wird.

mfg
Harald
Bitte warten ..
Mitglied: Jonapap
12.08.2008 um 08:38 Uhr
danke für die schnelle Reaktion Harald,

hatte Regel 2 und 3 deaktiviert. Habe jetzt die betreffende Block-Regel an Punkt 2 gesetzt direkt nach der bereits ab Werk vorhandenen Regel "xNetBios -> DNS" für rausgehende Verbindungen.
Vielleicht klappt es ja jetzt.

Hat jemand Erfahrung damit, wie man ansonsten mit solchen Angriffen umgeht? Kann der Angriff vielleicht mit einem infiziertem PC im Intranet zusammenhängen oder sind solche Angriffe zufall? Wobei der Angriff ja alle paar Tage von immer der gleichen IP erfolgt...
Bitte warten ..
Mitglied: harald21
13.08.2008 um 09:30 Uhr
Hallo,

sag bitte Bescheid, ob das jetzt die Ursache war - auch wir sind neugierig:

mfg
Harald
Bitte warten ..
Mitglied: Jonapap
11.09.2008 um 07:46 Uhr
Hallo,

leider bekomme ich immer noch die Meldungen - von der gleichen IP-Adresse. Entweder blockiert die Routerfirewall die Anfragen immer noch nicht, oder aber der Grund für die Meldungen liegt in unserem Intranet.

Ich habe keine Ahnung, wo ich weiter suchen soll. Hat noch jemand einen Tipp?

Vielen Dank im Voraus
Bitte warten ..
Mitglied: 71137
24.10.2008 um 08:41 Uhr
Hallo,
habe das gleiche Problem. Bei mir ist es allerdings ein DNS Server der Antwortet, welcher den MX Eintrag für Mails von IP nach Namen auflösst. Vielleicht hilft das.
Sendet bei Dir irgend ein PC oder TK Anlage Mails an eine IP Adresse an Stelle eines Namens. zBsp.
SMTP Mail an 111.111.1.1 an Stelle admin@firma.de ???
Bei mir jedenfalls ist es so.
Allerdings habe ich auch versucht den DNS Servereintag in IP Adresse zu löschen, hat auch nichts gebracht, da der Server zwar intern Mail verschickt allerdings die Namensauflösung extern passiert.
MfG Möbius
PS gibts einen Plan.??
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
IP Spoofing Opfer
gelöst Frage von SpoofieErkennung und -Abwehr19 Kommentare

Hallo Community, ich bin unbewusst Opfer von IP Spoofing geworden (glaube ich) und brauche dringend Rat (Rechtsanwalt habe ich ...

Windows 7
Mac Spoofing über Virtual Box
gelöst Frage von JustChaosWindows 73 Kommentare

Hallo, ich stelle die Frage jetzt einfach mal direkt: Ist es unter Windows 7 möglich die Mac Adresse der ...

Firewall
IP Spoofing vom Internet mit privaten IP-Adresse (Fake Adressen)
gelöst Frage von DerHahntrutFirewall13 Kommentare

Guten Tag Ich habe seit kurzem das Problem dass pro Sekunde 2-3 Anfragen von Privaten Adressen 10.x.x.x auf der ...

Sicherheit
Benutzer-Programm-Schadsoftware macht IP-Spoofing und greift per SNMP an
gelöst Frage von 77lilly77Sicherheit16 Kommentare

Guten Tag! Ich konnte in der Firma in der ich arbeite folgendes beobachten: Ich bekomme als Administrator einen Bericht ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Windows Server
DNS Forwarding an andere Domäne
Frage von detox91Windows Server9 Kommentare

Hallo, für Testzwecke haben wir bei uns eine zweite Windows Domäne (B.local) aufgebaut, welche komplett unabhängig und isoliert der ...