Windows
Windows DNS 伺服器 - 來自外部的無效域名?
今天早上我在閒逛事件日誌時看到了一些新的東西(對我來說)。
Event Type: Information Event Source: DNS Event Category: None Event ID: 5504 Date: 9/8/2009 Time: 8:38:09 AM User: N/A Computer: MYSERVER Description: The DNS server encountered an invalid domain name in a packet from 72.233.33.107. The packet will be rejected. The event data contains the DNS packet.我有一些提到 .107 地址,還有一些提到 .109。所有這些都在大約 5 秒的時間內完成。事件數據並不是那麼有用(或者是嗎?):
Data: 0000: 97 5b 80 05 00 00 00 00 [..... 0008: 00 00 00 00 ....現在我很好奇……我的內部AD 域伺服器如何從那些外部地址獲取數據包?
我以前在我自己的內部 DNS 伺服器上看到過這種情況。雖然我不記得確切的原因,但我相信這是來自您的 DNS 伺服器的 DNS 查詢的傳入答案,或者如果您使用轉發器,則來自轉發器的答案。答案包含您的伺服器不支持的數據(DNAME?)。
這就是我要做的:在 DNS 伺服器上安裝一個數據包擷取程序,為 DNS 啟動一個擷取和過濾器,繼續擷取直到您在事件日誌中看到一個新事件,停止擷取並查找所有進出該 ip 的流量地址,查看數據包是傳入的 DNS 答案還是傳入的 DNS 查詢。