Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie kann ich UDP(53)-Anfragen auf DNS-Rootserver unter Windows XP analysieren

Frage Sicherheit Firewall

Mitglied: dieterz

dieterz (Level 1) - Jetzt verbinden

28.07.2010, aktualisiert 13:45 Uhr, 3915 Aufrufe, 1 Kommentar

Hallo zusammen,

ich habe seit einiger Zeit entdeckt, dass mehrere Clients in einem Windows-Netzwerk (WinXP) in sehr kurzen Abständen (alle 5 Sekunden) Anfragen auf UDP-Port 53 auf verschiedene IPs im Internet senden. Die Firewall blockt und logt die Anfragen. Ich habe versucht dem Problem auf den Grund zu gehen. Leider fehlt mir der richtige Ansatz.

Der Quell-UDP-Port der Clients wird dabei systematisch hochgezählt. Wo er beginnt habe ich noch nicht festgestellt. Aber bei jedem Verbindungsversuch (ca. alle 2 Sekunden) wird er systematisch im 1 erhöht und geht bis zur 65.XXXer-Grenze. Bei jedem neuen Versuch wechselt allerdings die Ziel-IP. Der Zielport ist konstant UDP 53.

Die IP-Adressen der Zielserver stellen sich fast alle als DNS-Rootserver heraus:

a.root-servers.net
b.root-servers.net
blackhole-1.iana.org
blackhole-2.iana.org
c.root-servers.net
d.root-servers.net
f.root-servers.net
G.ROOT-SERVERS.NET
h.root-servers.net
i.root-servers.net
j.root-servers.net
k.root-servers.net
l.root-servers.net
M.ROOT-SERVERS.NET
ns1.isi.edu
prisoner.iana.org
(...)

Alle Clients mit diesem Verhalten haben einen internen Domaincontroller als DNS-Server im LAN konfiguriert und keine weiteren externen.

- der Virenscanner (Symantec AntiVir) auf den Clients findet nichts
- mit netstat sind keine verdächtigen, lauschenden Prozesse erkennbar
- hijackthis-log zeigt keine Auffälligkeiten (für zugegeben - auf diesem Gebiet eher leicht fortgeschrittene Admin-Augen, als Malware-Profi-Augen)

Ich werde das Gefühl nicht los, dass ich ein richtiges Sicherheitsproblem habe. Leider weiss ich im Moment keinen richtigen Ansatz, um das Problem weiter einzukreisen. Hat jemand eine Idee, wie ich das Problem weiter einkreisen kann?

vielen Dank und einen Gruß von

Dieter.
Mitglied: Equinox
29.07.2010 um 09:39 Uhr
Hallo,

kann es sein das der DNS Server nicht korrekt läuft?

Eine Auflösung über die Root-Server kommt ja normal erst, wenn kein Weiterleitungsserver konfiguriert wurde oder dieser nicht antwortet, dann erst werden die Root-Server befragt. Dazu werden in Form einer statischen Datei die Namen und IP-Adressen der Root-Server hinterlegt. Es gibt 13 Root-Server (Server A bis M). Die Root-Server beantworten Anfragen ausschließlich iterativ (der Server antwortet mit einem Verweis auf andere Nameserver), da diese sonst mit der Anzahl der Anfragen überlastet wären.

Dann hätte ich noch etwas Blackhole Iana Server und Prisoner.iana
http://www.nwlab.net/art/blackhole/blackhole-1.iana.org.html

Equinox
Bitte warten ..
Ähnliche Inhalte
Server
gelöst Sicherheit Rootserver Windows 7 (11)

Frage von BKrieg zum Thema Server ...

Server
Feste IP oder Domainname für Rootserver (9)

Frage von achim222 zum Thema Server ...

Netzwerkgrundlagen
gelöst DCs sehr viele UDP-Verbindungen zur Firewall (5)

Frage von watchdogg zum Thema Netzwerkgrundlagen ...

Linux Desktop
Linux Kernel.Panic analysieren (5)

Frage von fundave3 zum Thema Linux Desktop ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Verschlüsselung & Zertifikate
gelöst SSL Zertifikat für HTTPS (34)

Frage von Hendrik2586 zum Thema Verschlüsselung & Zertifikate ...

Grafikkarten & Monitore
24" oder 27" mit Full HD oder doch mehr Auflösung? (22)

Frage von brutzler zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Linksys wrt1200ac v2 mit dd-wrt: keine vlan-einstellungen im GUI (15)

Frage von Pixi123 zum Thema Router & Routing ...