mcpole
Goto Top

Client finden der Abfragen über DNS macht

Hi Admin Gemeinde,
folgendes Problem. Es werden diverse Abfragen über unsere Firewall gemacht. In der Log sehe ich, dass unser DNS diese diverse Abfragen macht. Kann ich herausfinden wer über diesen DNS diese Abfrage macht?
Ist ein Windows Server 2008 R2 DC mit DNS.

Content-ID: 221902

Url: https://administrator.de/forum/client-finden-der-abfragen-ueber-dns-macht-221902.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

Mantigul
Mantigul 13.11.2013 um 15:38:42 Uhr
Goto Top
Hallo.

Also deine Formulierung ist mal ein wenig......unklar.
Du willst wissen welcher Client eine bestimmte DNS-Abfrage an deinen DNS Server geschickt hat?

Zum Beispiel: Wer von meinen Clients geht auf www.facebook.de ?

verstehe ich das richtig?
Snowman25
Snowman25 13.11.2013 um 15:50:30 Uhr
Goto Top
Zitat von @Mantigul:
Zum Beispiel: Wer von meinen Clients geht auf www.facebook.de ?

Achtung!
Da inzwischen fast alle websites Facebook in irgendeiner Form einbinden, wird hier natürlich auch facebook.com aufgelöst. (Like-Button, Kommentar-Funktion, Share-Button, etc...)
Lochkartenstanzer
Lochkartenstanzer 13.11.2013 um 16:30:30 Uhr
Goto Top
Zitat von @MCPole:
Ist ein Windows Server 2008 R2 DC mit DNS.

Mit wireshark auf dns triggern.

lks
MCPole
MCPole 13.11.2013 um 20:29:38 Uhr
Goto Top
hi Mantigul
ganz genau das will ich herausfinden. Das Problem ist einfach das unser App Control ( muss kein Mobile Device ) sein ständig anschlägt.. und als abfrager unseren DNS server angibt!
MCPole
MCPole 14.11.2013 um 08:13:31 Uhr
Goto Top
HI lks,
direkt auf dem dns server mit ws?
Lochkartenstanzer
Lochkartenstanzer 14.11.2013 um 09:21:49 Uhr
Goto Top
Zitat von @MCPole:
HI lks,
direkt auf dem dns server mit ws?

Du installierst auf dem DNS-Server einen Wireshark oder einen andren Sniffer und sniffst die pakete, die aus dem LAN kommen mit. Diese filters Du auf Port 53/DNS, ggf zusätzlich noch auf den namen, der aufgelöst werden soll. Dann solltest Du sofort sehen, von wo die Anfragen kommen.

beachte aber, daß das sniffen den Unternehmensrichtlinien widersprechen kann udn daher Du erst eine Genehmigung der DL oder des betriebsrates brauchen könntest, je nachdem, wie euer betrieb organisiert ist.

lks
Cthluhu
Cthluhu 14.11.2013 um 09:22:43 Uhr
Goto Top
Hi MCPole,

Du kannst Wireshark direkt am Server laufen lassen. Die elegantere Methode wäre jedoch eine Portspiegelung am switch und Wireshark auf einem extra Rechner laufen lassen.

mfg

Cthluhu