7
Komplette DNS-Strings zentral auslesen
Sehr geehrte Admins,
ich bin auf der Suche nach einem Tool, welches mir die DNS Aufrufe aus dem Browser pro Client anzeigen lassen kann. Ich möchte hier A den Client zuordnen und anschließend auch kompletten DNS-String (z.B. yahoo.de/xxxx/xx/xxxx.jpg
Ich kann schon mal sagen, dass die Firewall es im normalen Logs nicht schafft und bei Proxies bin ich zu schwach, was Implementierung und Output angeht.
Konstellation ist (2 stufiges Firewallkonzept mit Core und normalen Switches. Kemp LoadMaster steuert den Zugriff auf die Mails von außen rein.
Warum will ich das? Die Firewall zeigt es nicht an und ich will eigentlich nicht mehr Großartiges an der Infrastruktur ändern. Unser DNS-Shield zeigt nur die Domäne an, nicht den kompletten DNS String.
Danke für eure zahlreichen Ideen!
Viele Grüße
Robert
ich bin auf der Suche nach einem Tool, welches mir die DNS Aufrufe aus dem Browser pro Client anzeigen lassen kann. Ich möchte hier A den Client zuordnen und anschließend auch kompletten DNS-String (z.B. yahoo.de/xxxx/xx/xxxx.jpg
Ich kann schon mal sagen, dass die Firewall es im normalen Logs nicht schafft und bei Proxies bin ich zu schwach, was Implementierung und Output angeht.
Konstellation ist (2 stufiges Firewallkonzept mit Core und normalen Switches. Kemp LoadMaster steuert den Zugriff auf die Mails von außen rein.
Warum will ich das? Die Firewall zeigt es nicht an und ich will eigentlich nicht mehr Großartiges an der Infrastruktur ändern. Unser DNS-Shield zeigt nur die Domäne an, nicht den kompletten DNS String.
Danke für eure zahlreichen Ideen!
Viele Grüße
Robert
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1835678320
Url: https://administrator.de/contentid/1835678320
Ausgedruckt am: 26.11.2024 um 09:11 Uhr
7 Kommentare
Neuester Kommentar
Nimm dir nochmals das Große Buch des Domain Name Systems vor und lies nach, was ein DNS String ist, der besteht nämlich nicht aus Subordner und xxx.jpg. Wie der Name es schon sagt, das was du suchst hast du bereits, dass was du eigentlich willst ist der komplette Pfad.
Vom Thema Datenschutz etc fangen wir besser nicht an
Vom Thema Datenschutz etc fangen wir besser nicht an
"Warum will man das" ist nicht geklärt.
Hallo,
wie schon gesagt, geht das mit DNS nicht.
Falls es mal Jemand findet und nur ganz grob
Eingabe im Browser: https://yahoo.de/xxxx/xx/xxxx.jpg
In einem System ohne Proxy
DNS - Abfrage der IP zu yahoo.de
HTTP(s) - Senden der Anfrage "GET https://yahoo.de/xxxx/xx/xxxx.jpg; an die IP die eben ermittelt wurde
In einem System mit Proxy
HTTP(s) - Senden der Anfrage "GET https://yahoo.de/xxxx/xx/xxxx.jpg; an den Proxy
Stefan
wie schon gesagt, geht das mit DNS nicht.
Falls es mal Jemand findet und nur ganz grob
Eingabe im Browser: https://yahoo.de/xxxx/xx/xxxx.jpg
In einem System ohne Proxy
DNS - Abfrage der IP zu yahoo.de
HTTP(s) - Senden der Anfrage "GET https://yahoo.de/xxxx/xx/xxxx.jpg; an die IP die eben ermittelt wurde
In einem System mit Proxy
HTTP(s) - Senden der Anfrage "GET https://yahoo.de/xxxx/xx/xxxx.jpg; an den Proxy
Stefan
Nirsoft hat ein paar gute und freie Tools die das leisten:
https://www.nirsoft.net/utils/dns_query_sniffer.html
und auch
https://www.nirsoft.net/utils/dns_records_viewer.html
https://www.nirsoft.net/utils/dns_query_sniffer.html
und auch
https://www.nirsoft.net/utils/dns_records_viewer.html
Sorry wegen der unvollständigen Beschreibung.
Warum will ich das? Unser zentraler DNS-Adressen Prüfdienst gibt leider nur den Hauptteil der DNS-Adresse aus.
Also in diesem Beispiel:
Ist --> cdn.snigelweb.com
Ich sehe in dem Tool den AD-Benutzer, DNS-Adresse und IP-Adresse.
Die Herausforderung ist, dass wir bei blockierten DNS-Adressen sicher gehen müssen, ob es etwas Schädliches aus dem Browser oder aus einer anderen Anwendung ist. Meistens ist es eine DNS-Adresse, welche im Browser blockiert wurde und diese ist im Browserverlauf, sprich in der Console auslesbar.
Dort finden wir dann z.B. diese blockierte DNS Abfrage und können sicher gehen, dass es nur der Browser war und nicht eine andere schädliche Anwendung auf dem Client.
Soll -->
https://cdn.snigelweb.com/adengine/administrator.de/loader.js + IP-Adresse des Clients + Timestamp
Ich weiß, dass dieser Prozess etwas umständlich ist und deswegen hoffe ich, dass es in der weiten IT-Welt etwas Besseres gibt um diese Checks zu beschleunigen.
Die Nirsoft Tools habe ich mir angesehen, sind einzigartig, aber ein zentrales Tool wäre besser.
Ich kann mir nicht vorstellen, die Tools von Nirsoft am Client den ganzen Tag laufen zu lassen. Vor allem nicht auf einem TS. Oder sieht das wer anders?
Viele Grüße
Robert
Warum will ich das? Unser zentraler DNS-Adressen Prüfdienst gibt leider nur den Hauptteil der DNS-Adresse aus.
Also in diesem Beispiel:
Ist --> cdn.snigelweb.com
Ich sehe in dem Tool den AD-Benutzer, DNS-Adresse und IP-Adresse.
Die Herausforderung ist, dass wir bei blockierten DNS-Adressen sicher gehen müssen, ob es etwas Schädliches aus dem Browser oder aus einer anderen Anwendung ist. Meistens ist es eine DNS-Adresse, welche im Browser blockiert wurde und diese ist im Browserverlauf, sprich in der Console auslesbar.
Dort finden wir dann z.B. diese blockierte DNS Abfrage und können sicher gehen, dass es nur der Browser war und nicht eine andere schädliche Anwendung auf dem Client.
Soll -->
https://cdn.snigelweb.com/adengine/administrator.de/loader.js + IP-Adresse des Clients + Timestamp
Ich weiß, dass dieser Prozess etwas umständlich ist und deswegen hoffe ich, dass es in der weiten IT-Welt etwas Besseres gibt um diese Checks zu beschleunigen.
Die Nirsoft Tools habe ich mir angesehen, sind einzigartig, aber ein zentrales Tool wäre besser.
Ich kann mir nicht vorstellen, die Tools von Nirsoft am Client den ganzen Tag laufen zu lassen. Vor allem nicht auf einem TS. Oder sieht das wer anders?
Viele Grüße
Robert
Hallo Robert
Ein Einsatz der Nirsoft Tools sollte man mit dem Security Officer abklären.
www.borncity.com/blog/2020/04/14/die-nirsoft-tools-und-die-dll-hijacking-schwachstellen/
Beste Grüsse
Ein Einsatz der Nirsoft Tools sollte man mit dem Security Officer abklären.
www.borncity.com/blog/2020/04/14/die-nirsoft-tools-und-die-dll-hijacking-schwachstellen/
Beste Grüsse
Wenn es das denn nun war nicht vergessen deinen Thread dann auch als erledigt zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
