Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie kann ich UDP(53)-Anfragen auf DNS-Rootserver unter Windows XP analysieren

Frage Sicherheit Firewall

Mitglied: dieterz

dieterz (Level 1) - Jetzt verbinden

28.07.2010, aktualisiert 13:45 Uhr, 3910 Aufrufe, 1 Kommentar

Hallo zusammen,

ich habe seit einiger Zeit entdeckt, dass mehrere Clients in einem Windows-Netzwerk (WinXP) in sehr kurzen Abständen (alle 5 Sekunden) Anfragen auf UDP-Port 53 auf verschiedene IPs im Internet senden. Die Firewall blockt und logt die Anfragen. Ich habe versucht dem Problem auf den Grund zu gehen. Leider fehlt mir der richtige Ansatz.

Der Quell-UDP-Port der Clients wird dabei systematisch hochgezählt. Wo er beginnt habe ich noch nicht festgestellt. Aber bei jedem Verbindungsversuch (ca. alle 2 Sekunden) wird er systematisch im 1 erhöht und geht bis zur 65.XXXer-Grenze. Bei jedem neuen Versuch wechselt allerdings die Ziel-IP. Der Zielport ist konstant UDP 53.

Die IP-Adressen der Zielserver stellen sich fast alle als DNS-Rootserver heraus:

a.root-servers.net
b.root-servers.net
blackhole-1.iana.org
blackhole-2.iana.org
c.root-servers.net
d.root-servers.net
f.root-servers.net
G.ROOT-SERVERS.NET
h.root-servers.net
i.root-servers.net
j.root-servers.net
k.root-servers.net
l.root-servers.net
M.ROOT-SERVERS.NET
ns1.isi.edu
prisoner.iana.org
(...)

Alle Clients mit diesem Verhalten haben einen internen Domaincontroller als DNS-Server im LAN konfiguriert und keine weiteren externen.

- der Virenscanner (Symantec AntiVir) auf den Clients findet nichts
- mit netstat sind keine verdächtigen, lauschenden Prozesse erkennbar
- hijackthis-log zeigt keine Auffälligkeiten (für zugegeben - auf diesem Gebiet eher leicht fortgeschrittene Admin-Augen, als Malware-Profi-Augen)

Ich werde das Gefühl nicht los, dass ich ein richtiges Sicherheitsproblem habe. Leider weiss ich im Moment keinen richtigen Ansatz, um das Problem weiter einzukreisen. Hat jemand eine Idee, wie ich das Problem weiter einkreisen kann?

vielen Dank und einen Gruß von

Dieter.
Mitglied: Equinox
29.07.2010 um 09:39 Uhr
Hallo,

kann es sein das der DNS Server nicht korrekt läuft?

Eine Auflösung über die Root-Server kommt ja normal erst, wenn kein Weiterleitungsserver konfiguriert wurde oder dieser nicht antwortet, dann erst werden die Root-Server befragt. Dazu werden in Form einer statischen Datei die Namen und IP-Adressen der Root-Server hinterlegt. Es gibt 13 Root-Server (Server A bis M). Die Root-Server beantworten Anfragen ausschließlich iterativ (der Server antwortet mit einem Verweis auf andere Nameserver), da diese sonst mit der Anzahl der Anfragen überlastet wären.

Dann hätte ich noch etwas Blackhole Iana Server und Prisoner.iana
http://www.nwlab.net/art/blackhole/blackhole-1.iana.org.html

Equinox
Bitte warten ..
Ähnliche Inhalte
Humor (lol)
Bluescreen als Retter: Windows XP zu instabil für WannaCry

Link von hugonatter zum Thema Humor (lol) ...

Windows XP
SP3 für Windows XP Embedded Version 2002 (4)

Frage von Michael-24 zum Thema Windows XP ...

Microsoft
Windows XP Embedded Partition verschwunden (4)

Frage von Tiloklom zum Thema Microsoft ...

Server
gelöst Sicherheit Rootserver Windows 7 (11)

Frage von BKrieg zum Thema Server ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Firewall
Welche Firewall ? (18)

Frage von Cyberurmel zum Thema Firewall ...

Windows Server
gelöst Einzelnes Windows Update über GPO deinstallieren (16)

Frage von lordofremixes zum Thema Windows Server ...