Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie kann ich UDP(53)-Anfragen auf DNS-Rootserver unter Windows XP analysieren

Frage Sicherheit Firewall

Mitglied: dieterz

dieterz (Level 1) - Jetzt verbinden

28.07.2010, aktualisiert 13:45 Uhr, 3903 Aufrufe, 1 Kommentar

Hallo zusammen,

ich habe seit einiger Zeit entdeckt, dass mehrere Clients in einem Windows-Netzwerk (WinXP) in sehr kurzen Abständen (alle 5 Sekunden) Anfragen auf UDP-Port 53 auf verschiedene IPs im Internet senden. Die Firewall blockt und logt die Anfragen. Ich habe versucht dem Problem auf den Grund zu gehen. Leider fehlt mir der richtige Ansatz.

Der Quell-UDP-Port der Clients wird dabei systematisch hochgezählt. Wo er beginnt habe ich noch nicht festgestellt. Aber bei jedem Verbindungsversuch (ca. alle 2 Sekunden) wird er systematisch im 1 erhöht und geht bis zur 65.XXXer-Grenze. Bei jedem neuen Versuch wechselt allerdings die Ziel-IP. Der Zielport ist konstant UDP 53.

Die IP-Adressen der Zielserver stellen sich fast alle als DNS-Rootserver heraus:

a.root-servers.net
b.root-servers.net
blackhole-1.iana.org
blackhole-2.iana.org
c.root-servers.net
d.root-servers.net
f.root-servers.net
G.ROOT-SERVERS.NET
h.root-servers.net
i.root-servers.net
j.root-servers.net
k.root-servers.net
l.root-servers.net
M.ROOT-SERVERS.NET
ns1.isi.edu
prisoner.iana.org
(...)

Alle Clients mit diesem Verhalten haben einen internen Domaincontroller als DNS-Server im LAN konfiguriert und keine weiteren externen.

- der Virenscanner (Symantec AntiVir) auf den Clients findet nichts
- mit netstat sind keine verdächtigen, lauschenden Prozesse erkennbar
- hijackthis-log zeigt keine Auffälligkeiten (für zugegeben - auf diesem Gebiet eher leicht fortgeschrittene Admin-Augen, als Malware-Profi-Augen)

Ich werde das Gefühl nicht los, dass ich ein richtiges Sicherheitsproblem habe. Leider weiss ich im Moment keinen richtigen Ansatz, um das Problem weiter einzukreisen. Hat jemand eine Idee, wie ich das Problem weiter einkreisen kann?

vielen Dank und einen Gruß von

Dieter.
Mitglied: Equinox
29.07.2010 um 09:39 Uhr
Hallo,

kann es sein das der DNS Server nicht korrekt läuft?

Eine Auflösung über die Root-Server kommt ja normal erst, wenn kein Weiterleitungsserver konfiguriert wurde oder dieser nicht antwortet, dann erst werden die Root-Server befragt. Dazu werden in Form einer statischen Datei die Namen und IP-Adressen der Root-Server hinterlegt. Es gibt 13 Root-Server (Server A bis M). Die Root-Server beantworten Anfragen ausschließlich iterativ (der Server antwortet mit einem Verweis auf andere Nameserver), da diese sonst mit der Anzahl der Anfragen überlastet wären.

Dann hätte ich noch etwas Blackhole Iana Server und Prisoner.iana
http://www.nwlab.net/art/blackhole/blackhole-1.iana.org.html

Equinox
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Batch & Shell
Skripterstellung Lehrling (21)

Frage von 133119 zum Thema Batch & Shell ...

Java
gelöst Net user per script aus txt oder csv für FTP (15)

Frage von OlliPWS zum Thema Java ...

Exchange Server
Microsoft Exchange Weiterleitung mit anderer primären E-Mail Adresse (14)

Frage von Rene12345 zum Thema Exchange Server ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar (14)

Frage von guntis zum Thema LAN, WAN, Wireless ...