Kryptischer Hostname in DNS Querys

Servus zusammen,

aufgrund eine Anfangsverdachts habe ich mittels DNSQuerySniffer meinen DNS Server auf Windows Server 2012 abgefragt, dabei vielen mir Einträge auf, wo der Hostname aus bis zu 865 Zeichen besteht, beispielhaft in dieser (verkürzten) Form: Vvz†ßcû
Õçì¸+µEò0·¢¤ Ö‹¶\.s‡¦IéÜ›äÏ•Ž

Zwar schickt der Client diese Anfrage an den DNS, und bekommt als Fehler "NAME ERROR" zurück geliefert. Ich habe nun drei Systeme im Netz, welche Anfragen dieser Art geschickt haben und diese erst mal vom Netz genommen.

Meine Frage: wer hat ähnliches schonmal beobachtet? Wie finde ich heraus, welche Anwendung Anfragen dieser Art sendet?

Danke für Eure Hilfe.

Viele Grüße, Peter

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 289520

Url: https://administrator.de/contentid/289520

Ausgedruckt am: 08.11.2024 um 02:11 Uhr

1 Kommentar

Hi,

Das schaut nach einem DNS-Tunnel aus.
Da du die drei Systeme schon identifiert hast, könntest du ja mal den Microsoft Network Monitor drauf laufen lassen. Damit man IMHO den Prozess identifzieren welcher die Pakete schickt.

mfg

Cthluhu

Frage Netzwerke DNS

Mehr von DaPedda

VLAN - vom Default vLan ins vLAN 10DaPedda - 2 Kommentare

DELL SCv3020iSCSI: RAID 10 vs. RAID 5DaPedda - 9 Kommentare

Absichern von Clients z.B. mit YubikeyDaPedda - 1 Kommentar

Netzwerkmonitoring - Netzwerktest internDaPedda - 13 Kommentare

Heiß diskutiert