Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie kann ich UDP(53)-Anfragen auf DNS-Rootserver unter Windows XP analysieren

Frage Sicherheit Firewall

Mitglied: dieterz

dieterz (Level 1) - Jetzt verbinden

28.07.2010, aktualisiert 13:45 Uhr, 3933 Aufrufe, 1 Kommentar

Hallo zusammen,

ich habe seit einiger Zeit entdeckt, dass mehrere Clients in einem Windows-Netzwerk (WinXP) in sehr kurzen Abständen (alle 5 Sekunden) Anfragen auf UDP-Port 53 auf verschiedene IPs im Internet senden. Die Firewall blockt und logt die Anfragen. Ich habe versucht dem Problem auf den Grund zu gehen. Leider fehlt mir der richtige Ansatz.

Der Quell-UDP-Port der Clients wird dabei systematisch hochgezählt. Wo er beginnt habe ich noch nicht festgestellt. Aber bei jedem Verbindungsversuch (ca. alle 2 Sekunden) wird er systematisch im 1 erhöht und geht bis zur 65.XXXer-Grenze. Bei jedem neuen Versuch wechselt allerdings die Ziel-IP. Der Zielport ist konstant UDP 53.

Die IP-Adressen der Zielserver stellen sich fast alle als DNS-Rootserver heraus:

a.root-servers.net
b.root-servers.net
blackhole-1.iana.org
blackhole-2.iana.org
c.root-servers.net
d.root-servers.net
f.root-servers.net
G.ROOT-SERVERS.NET
h.root-servers.net
i.root-servers.net
j.root-servers.net
k.root-servers.net
l.root-servers.net
M.ROOT-SERVERS.NET
ns1.isi.edu
prisoner.iana.org
(...)

Alle Clients mit diesem Verhalten haben einen internen Domaincontroller als DNS-Server im LAN konfiguriert und keine weiteren externen.

- der Virenscanner (Symantec AntiVir) auf den Clients findet nichts
- mit netstat sind keine verdächtigen, lauschenden Prozesse erkennbar
- hijackthis-log zeigt keine Auffälligkeiten (für zugegeben - auf diesem Gebiet eher leicht fortgeschrittene Admin-Augen, als Malware-Profi-Augen)

Ich werde das Gefühl nicht los, dass ich ein richtiges Sicherheitsproblem habe. Leider weiss ich im Moment keinen richtigen Ansatz, um das Problem weiter einzukreisen. Hat jemand eine Idee, wie ich das Problem weiter einkreisen kann?

vielen Dank und einen Gruß von

Dieter.
Mitglied: Equinox
29.07.2010 um 09:39 Uhr
Hallo,

kann es sein das der DNS Server nicht korrekt läuft?

Eine Auflösung über die Root-Server kommt ja normal erst, wenn kein Weiterleitungsserver konfiguriert wurde oder dieser nicht antwortet, dann erst werden die Root-Server befragt. Dazu werden in Form einer statischen Datei die Namen und IP-Adressen der Root-Server hinterlegt. Es gibt 13 Root-Server (Server A bis M). Die Root-Server beantworten Anfragen ausschließlich iterativ (der Server antwortet mit einem Verweis auf andere Nameserver), da diese sonst mit der Anzahl der Anfragen überlastet wären.

Dann hätte ich noch etwas Blackhole Iana Server und Prisoner.iana
http://www.nwlab.net/art/blackhole/blackhole-1.iana.org.html

Equinox
Bitte warten ..
Ähnliche Inhalte
Server
Sicherheit Rootserver Windows 7
gelöst Frage von BKriegServer11 Kommentare

Guten Abend zusammen, seit langen bin ich auf der Suche nach einer günstigen Lösungen für meinen "PC/Desktop online". Ich ...

Windows Server
Windows Rootserver absichern
Frage von tokra11Windows Server6 Kommentare

Hallo zusammen, ich habe mir vor kurem einen Rootserver mit Windows Server 2012 R2 zugelegt. Auf diesem betreibe ich ...

Batch & Shell
Dauerpingausgabe analysieren
gelöst Frage von Martinh80Batch & Shell7 Kommentare

Hallo zusammen, Ich habe ein Logfile wo alle 5 Minuten, Datum und Uhrzeit und danach ein Ping abgesetzt wurde. ...

Windows 7
Windows 7 lange Bootzeit analysieren
Frage von achkleinWindows 75 Kommentare

Hallo, der Rechner eines Bekannten (Windows 7 Home Premoum 64Bit) braucht zum Booten über 6,5 Minuten (gemessen über die ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 20 StundenMicrosoft Office8 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 22 StundenDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 23 StundenSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner14 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...