Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie kann ich UDP(53)-Anfragen auf DNS-Rootserver unter Windows XP analysieren

Frage Sicherheit Firewall

Mitglied: dieterz

dieterz (Level 1) - Jetzt verbinden

28.07.2010, aktualisiert 13:45 Uhr, 3897 Aufrufe, 1 Kommentar

Hallo zusammen,

ich habe seit einiger Zeit entdeckt, dass mehrere Clients in einem Windows-Netzwerk (WinXP) in sehr kurzen Abständen (alle 5 Sekunden) Anfragen auf UDP-Port 53 auf verschiedene IPs im Internet senden. Die Firewall blockt und logt die Anfragen. Ich habe versucht dem Problem auf den Grund zu gehen. Leider fehlt mir der richtige Ansatz.

Der Quell-UDP-Port der Clients wird dabei systematisch hochgezählt. Wo er beginnt habe ich noch nicht festgestellt. Aber bei jedem Verbindungsversuch (ca. alle 2 Sekunden) wird er systematisch im 1 erhöht und geht bis zur 65.XXXer-Grenze. Bei jedem neuen Versuch wechselt allerdings die Ziel-IP. Der Zielport ist konstant UDP 53.

Die IP-Adressen der Zielserver stellen sich fast alle als DNS-Rootserver heraus:

a.root-servers.net
b.root-servers.net
blackhole-1.iana.org
blackhole-2.iana.org
c.root-servers.net
d.root-servers.net
f.root-servers.net
G.ROOT-SERVERS.NET
h.root-servers.net
i.root-servers.net
j.root-servers.net
k.root-servers.net
l.root-servers.net
M.ROOT-SERVERS.NET
ns1.isi.edu
prisoner.iana.org
(...)

Alle Clients mit diesem Verhalten haben einen internen Domaincontroller als DNS-Server im LAN konfiguriert und keine weiteren externen.

- der Virenscanner (Symantec AntiVir) auf den Clients findet nichts
- mit netstat sind keine verdächtigen, lauschenden Prozesse erkennbar
- hijackthis-log zeigt keine Auffälligkeiten (für zugegeben - auf diesem Gebiet eher leicht fortgeschrittene Admin-Augen, als Malware-Profi-Augen)

Ich werde das Gefühl nicht los, dass ich ein richtiges Sicherheitsproblem habe. Leider weiss ich im Moment keinen richtigen Ansatz, um das Problem weiter einzukreisen. Hat jemand eine Idee, wie ich das Problem weiter einkreisen kann?

vielen Dank und einen Gruß von

Dieter.
Mitglied: Equinox
29.07.2010 um 09:39 Uhr
Hallo,

kann es sein das der DNS Server nicht korrekt läuft?

Eine Auflösung über die Root-Server kommt ja normal erst, wenn kein Weiterleitungsserver konfiguriert wurde oder dieser nicht antwortet, dann erst werden die Root-Server befragt. Dazu werden in Form einer statischen Datei die Namen und IP-Adressen der Root-Server hinterlegt. Es gibt 13 Root-Server (Server A bis M). Die Root-Server beantworten Anfragen ausschließlich iterativ (der Server antwortet mit einem Verweis auf andere Nameserver), da diese sonst mit der Anzahl der Anfragen überlastet wären.

Dann hätte ich noch etwas Blackhole Iana Server und Prisoner.iana
http://www.nwlab.net/art/blackhole/blackhole-1.iana.org.html

Equinox
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows XP
Windows XP 2TB Datenplatte nur mit 1TB beschreibbar (11)

Frage von hajo2121 zum Thema Windows XP ...

Windows XP
Windows XP und die Atom-U-Boote in Großbritannien (6)

Link von transocean zum Thema Windows XP ...

Windows XP
gelöst WPA2 unter Windows XP SP1 nutzen? (10)

Frage von bestelitt zum Thema Windows XP ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
Virenschutz - Meinungen (27)

Frage von honeybee zum Thema Erkennung und -Abwehr ...

Windows 10
Welches OS für Firmengeräte? (18)

Frage von MarkusVH zum Thema Windows 10 ...

Netzwerke
Abisolierwerkzeug (18)

Frage von SarekHL zum Thema Netzwerke ...

Exchange Server
SBS2011: POP3-Connector 10 MB Grenze Email Benachrichtigung (17)

Frage von bogi1102 zum Thema Exchange Server ...