5
DNS-Spoofing
Hallo
Umgebung:
Verbindung zum Internet über Router (Draytek Vigor 2600+)
Server: Windows SBS 2003 mit SP2 / alle updates
In unregelmäßigen Abständen wird folgende Informationsmeldung im Ereignisprotokoll unseres Domänen-Controllers protokolliert:
Ereignistyp: Informationen
Ereignisquelle: DNS
Ereigniskategorie: Keine
Ereigniskennung: 5504
Datum: 10.08.2008
Zeit: 02:58:43
Benutzer: Nicht zutreffend
Computer: S3
Beschreibung:
Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 209.130.152.244 festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: f4 83 80 05 00 00 00 00 ô??.....
0008: 00 00 00 00 ....
Die IP 209.130.152.244 ist in Canada registriert. Ich vermute hinter den ungültigen DNS-Paketen einen Angriff und weil die IP-Adresse des Verursachers immer gleich bleibt, würde ich diesen gerne in unserem Router komplett blockieren.
Hier ein Bildschirmfoto von der Konfigurationsmaske unseres Routers:
Leider kommen die ungültigen Pakete auch nach diesem Eintrag noch bei unserem DNS-Server an. Was mache ich falsch, oder was kann ich sonst noch gegen solche Angriffe unternehmen?
Umgebung:
Verbindung zum Internet über Router (Draytek Vigor 2600+)
Server: Windows SBS 2003 mit SP2 / alle updates
In unregelmäßigen Abständen wird folgende Informationsmeldung im Ereignisprotokoll unseres Domänen-Controllers protokolliert:
Ereignistyp: Informationen
Ereignisquelle: DNS
Ereigniskategorie: Keine
Ereigniskennung: 5504
Datum: 10.08.2008
Zeit: 02:58:43
Benutzer: Nicht zutreffend
Computer: S3
Beschreibung:
Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 209.130.152.244 festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: f4 83 80 05 00 00 00 00 ô??.....
0008: 00 00 00 00 ....
Die IP 209.130.152.244 ist in Canada registriert. Ich vermute hinter den ungültigen DNS-Paketen einen Angriff und weil die IP-Adresse des Verursachers immer gleich bleibt, würde ich diesen gerne in unserem Router komplett blockieren.
Hier ein Bildschirmfoto von der Konfigurationsmaske unseres Routers:
Leider kommen die ungültigen Pakete auch nach diesem Eintrag noch bei unserem DNS-Server an. Was mache ich falsch, oder was kann ich sonst noch gegen solche Angriffe unternehmen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 94187
Url: https://administrator.de/contentid/94187
Ausgedruckt am: 24.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
die angezeigt Regel ist mit "Filter 2 Regel 7" beschriftet, normnalerweise werden bei Firewalls die Regeln der Reihe nach abgearbeitet und die erste zutreffende Regel wird angewendet. Du solltest also darauf achten, das die Block-Regel als erstes angewendet wird.
mfg
Harald
die angezeigt Regel ist mit "Filter 2 Regel 7" beschriftet, normnalerweise werden bei Firewalls die Regeln der Reihe nach abgearbeitet und die erste zutreffende Regel wird angewendet. Du solltest also darauf achten, das die Block-Regel als erstes angewendet wird.
mfg
Harald
danke für die schnelle Reaktion Harald,
hatte Regel 2 und 3 deaktiviert. Habe jetzt die betreffende Block-Regel an Punkt 2 gesetzt direkt nach der bereits ab Werk vorhandenen Regel "xNetBios -> DNS" für rausgehende Verbindungen.
Vielleicht klappt es ja jetzt.
Hat jemand Erfahrung damit, wie man ansonsten mit solchen Angriffen umgeht? Kann der Angriff vielleicht mit einem infiziertem PC im Intranet zusammenhängen oder sind solche Angriffe zufall? Wobei der Angriff ja alle paar Tage von immer der gleichen IP erfolgt...
hatte Regel 2 und 3 deaktiviert. Habe jetzt die betreffende Block-Regel an Punkt 2 gesetzt direkt nach der bereits ab Werk vorhandenen Regel "xNetBios -> DNS" für rausgehende Verbindungen.
Vielleicht klappt es ja jetzt.
Hat jemand Erfahrung damit, wie man ansonsten mit solchen Angriffen umgeht? Kann der Angriff vielleicht mit einem infiziertem PC im Intranet zusammenhängen oder sind solche Angriffe zufall? Wobei der Angriff ja alle paar Tage von immer der gleichen IP erfolgt...
Hallo,
sag bitte Bescheid, ob das jetzt die Ursache war - auch wir sind neugierig:
mfg
Harald
sag bitte Bescheid, ob das jetzt die Ursache war - auch wir sind neugierig:
mfg
Harald
Hallo,
leider bekomme ich immer noch die Meldungen - von der gleichen IP-Adresse. Entweder blockiert die Routerfirewall die Anfragen immer noch nicht, oder aber der Grund für die Meldungen liegt in unserem Intranet.
Ich habe keine Ahnung, wo ich weiter suchen soll. Hat noch jemand einen Tipp?
Vielen Dank im Voraus
leider bekomme ich immer noch die Meldungen - von der gleichen IP-Adresse. Entweder blockiert die Routerfirewall die Anfragen immer noch nicht, oder aber der Grund für die Meldungen liegt in unserem Intranet.
Ich habe keine Ahnung, wo ich weiter suchen soll. Hat noch jemand einen Tipp?
Vielen Dank im Voraus
Hallo,
habe das gleiche Problem. Bei mir ist es allerdings ein DNS Server der Antwortet, welcher den MX Eintrag für Mails von IP nach Namen auflösst. Vielleicht hilft das.
Sendet bei Dir irgend ein PC oder TK Anlage Mails an eine IP Adresse an Stelle eines Namens. zBsp.
SMTP Mail an 111.111.1.1 an Stelle admin@firma.de ???
Bei mir jedenfalls ist es so.
Allerdings habe ich auch versucht den DNS Servereintag in IP Adresse zu löschen, hat auch nichts gebracht, da der Server zwar intern Mail verschickt allerdings die Namensauflösung extern passiert.
MfG Möbius
PS gibts einen Plan.??
habe das gleiche Problem. Bei mir ist es allerdings ein DNS Server der Antwortet, welcher den MX Eintrag für Mails von IP nach Namen auflösst. Vielleicht hilft das.
Sendet bei Dir irgend ein PC oder TK Anlage Mails an eine IP Adresse an Stelle eines Namens. zBsp.
SMTP Mail an 111.111.1.1 an Stelle admin@firma.de ???
Bei mir jedenfalls ist es so.
Allerdings habe ich auch versucht den DNS Servereintag in IP Adresse zu löschen, hat auch nichts gebracht, da der Server zwar intern Mail verschickt allerdings die Namensauflösung extern passiert.
MfG Möbius
PS gibts einen Plan.??
