Server-Firewall, die Zweite



  • Hallo Leute,
    ich hatte ja schonmal einen Thread dazu, hier der relevante, letzte Teil, wollt aber fuer dieses Problem keine Leichenschaendung begehen.
    Wie aus den letzten Posts hervorgeht, habe ich einen Router zwischen Server (genauer: Switch an dem Server und einige Clients haengen) und Stick gehaengt, um sicher zu sein, dass mich keiner angreifen kann.

    Soweit gut, aber als ich heute das Eventlog fuer den DNS-Server ueberpruefte, fanden sich auf einmal Meldungen, dass einige DNS-Pakete fehlerhaft waren; 'Die Paketverarbeitung überschreitet die Länge des Paketes. Die Ereignisdaten enthalten das DNS-Paket'. Was mich aber viel mehr schockiert hat ist, dass die Adressen, von denen die Pakete kamen, mitgeloggt wurden... und die Adressen laut einer Ortungswebsite irgendwo in Camebridge ansaessig sind 😮

    Nur frag ich mich, warum die Pakete ueberhaupt ins System kommen konnten; ich dachte der Router faengt sowas ab (wobei ich mich mit Routern ueberhaupt nicht auskenne).

    Hab ich bei den Router-Einstellungen was verbockt, ich hab eigentlich ausser dem Eintragen der WAN-Daten, Deaktivieren von WLAN und Deaktivieren des DHCP-Servers nichts gemacht. Den Router musste ich vorher ueber 30/30/30 Resetten (siehe auch oben verlinkter Thread), falls das fuer mein Problem relevant ist.

    Hier ein Screenshot der Seite 'Routing': http://imageshack.us/a/img12/5919/forumrouter.png

    Und hier eine von mehreren Nachrichten mehrerer fragwuerdiger IPs: http://imageshack.us/a/img23/7866/forumdns.png

    Hoffe ihr koennt mir helfen.

    EDIT: Mein Ereignis-Protokoll fuellt sich grad immer weiter mit solchen zugriffen 😞



  • *push*
    Rechner ist gerade erst vom aufruesten wieder gekommen. Laeuft noch nicht mal ganz 4h und schon wieder finden sich solche Sachen im Eventlog.
    Weiss keiner, was da vor sich geht? 😞



  • Die Informationen, die du hier postest, sind sehr knapp. Hast du die DNS-Pakete komplett da, am besten den vollständigen DNS-Austausch inklusive der Anfragen?



  • dig sagt das ist ein dns-rootserver. auch wenn ich keine ahnung habe, was bei dir da genau abgeht, gehe ich mal nicht von einem angriffsversuch aus 🙂



  • Christoph schrieb:

    Die Informationen, die du hier postest, sind sehr knapp. Hast du die DNS-Pakete komplett da, am besten den vollständigen DNS-Austausch inklusive der Anfragen?

    Leider hab ich bis jetz nur solche fragwuerdigen Eintraege im Event-Log.
    Das Paket ist ja angeblich in den Daten des Ereignisses, wobei das hier ein neues von gerade eben ist:

    + System 
    
      - Provider 
    
       [ Name]  Microsoft-Windows-DNS-Server-Service 
       [ Guid]  {71A551F5-C893-4849-886B-B5EC8502641E} 
       [ EventSourceName]  DNS 
    
      - EventID 5501 
    
       [ Qualifiers]  16384 
    
       Version 0 
    
       Level 4 
    
       Task 0 
    
       Opcode 0 
    
       Keywords 0x80000000000000 
    
      - TimeCreated 
    
       [ SystemTime]  2012-10-26T11:44:13.000000000Z 
    
       EventRecordID 377 
    
       Correlation 
    
      - Execution 
    
       [ ProcessID]  0 
       [ ThreadID]  0 
    
       Channel DNS Server 
    
       Computer DCTERMSERV.myhome.local 
    
       Security 
    
    - EventData 
    
      param1 23.62.62.193 
       2418801001000000080009000461363935016406616B616D6169036E65740000010001C01100020001000054600006036E3664C013C011000200010000A8C00006036E3564C013C01100020001000054600006036E3364C013C0110002000100007E900006036E3164C013C01100020001000054600006036E3064C013C01100 
    
    --------------------------------------------------------------------------------
    
    Binäre Daten:
    
    In Wörtern
    
    0000: 10801824 00000001 00090008 39366104 
    0008: 06640135 6D616B61 6E036961 00007465 
    0010: C0010001 00020011 54000001 03060060 
    0018: C064366E 0011C013 00010002 00C0A800 
    0020: 356E0306 C013C064 00020011 54000001 
    0028: 03060060 C064336E 0011C013 00010002 
    0030: 00907E00 316E0306 C013C064 00020011 
    0038: 54000001 03060060 C064306E 0011C013 
    
    In Bytes
    
    0000: 24 18 80 10 01 00 00 00   $.€.....
    0008: 08 00 09 00 04 61 36 39   .....a69
    0010: 35 01 64 06 61 6B 61 6D   5.d.akam
    0018: 61 69 03 6E 65 74 00 00   ai.net..
    0020: 01 00 01 C0 11 00 02 00   ...À....
    0028: 01 00 00 54 60 00 06 03   ...T`...
    0030: 6E 36 64 C0 13 C0 11 00   n6dÀ.À..
    0038: 02 00 01 00 00 A8 C0 00   .....¨À.
    0040: 06 03 6E 35 64 C0 13 C0   ..n5dÀ.À
    0048: 11 00 02 00 01 00 00 54   .......T
    0050: 60 00 06 03 6E 33 64 C0   `...n3dÀ
    0058: 13 C0 11 00 02 00 01 00   .À......
    0060: 00 7E 90 00 06 03 6E 31   .~...n1
    0068: 64 C0 13 C0 11 00 02 00   dÀ.À....
    0070: 01 00 00 54 60 00 06 03   ...T`...
    0078: 6E 30 64 C0 13 C0 11 00   n0dÀ.À..
    

    Notfalls kann ich auch nochmal gucken, ob ich irgendwo einen Netzwerk-Logger herkrieg.

    Aber wenn das Angeblich DNS-Root-Server sind, ist es ja anscheinend kein Angriff. Was mich nur wundert: Warum schicken mir root-Server zu lange Pakete? oO
    Ich mein, ~60 % der Eintraege im DNS-Eventlog sind welche dieser Art.
    Allerdings ist die root-Server-Theorie doch sehr wahrscheinlich, denn manchmal kommt es vor, dass einige URLs nicht laden, obwohl Internet-Konnektivitaet besteht und erst nach einem Reload geht die Seite wieder.

    Ich versuch mal testweise bei DHCP meinen Router als altenativen DNS-Server anzugeben, vielleicht werden dann nicht mehr jegliche DNS-Requests ueber meinen Server geschleust.



  • Welches Programm genau gibt dir die Meldung, dass das Paket zu lang sei? Vielleicht ist diese Meldung falsch.



  • hallo noch mal!
    ich kann die meldung deines programms nicht wirklich lesen. aber soviel geht: deine anfrage wird denke ich durch einen caching dns-server von akamai beantwortet, kommt also nicht wirklich von der von dir geposteten ip. nimm doch probehalber mal z.b. 8.8.8.8 und dann 208.67.222.222 als dns und poste wie es sich bei denen verhaelt.

    gruesse, mm

    edit: spaeter erst gelesen:

    Jonas OSDever schrieb:

    Allerdings ist die root-Server-Theorie doch sehr wahrscheinlich, denn manchmal kommt es vor, dass einige URLs nicht laden, obwohl Internet-Konnektivitaet besteht und erst nach einem Reload geht die Seite wieder.

    spricht auch fuer meine caching-theorie 🙂



  • @Christoph:
    Der DNS-Server-Dienst persoenlich.

    Aber es scheint wirklich etwas mit den Root-Servern zu tun zu haben. Seit dem ich den Router als alternativen DNS-Server hinterlegt hab, hab ich bis jetz noch keine Meldung mehr gekriegt. Ich werds trotzdem weiter beobachten.

    @mm:
    Wie probehalber ein anderes DNS nehmen? In der IP-Konfiguration?

    Nochmal die genauen Infos zu meinem Netzwerk:
    Der Server hat die feste IP 192.168.127.2, der Router fest 192.168.127.10. Der Vollstaendigkeit halber sei erwaehnt, dass der Server zusaetzlich noch eine virtuelle Netzwerk-Karte fuer die Hyper-V-Maschinen hat. Das Problem trat aber schon vorher auf, weshalb das nicht die Ursache sein kann.
    Auf dem Server werden folgende Rollen-Dienste ausgefuehrt: DNS-Server, AD-DC, Remote-Desktop-Server, DHCP-Server, Hyper-V.
    Der DNS-Server beliefert die Zone .local.myhome (also URLs, die auf .myhome.local enden). Die Clients bekommen vom DHCP-Server Leases im Bereich 192.168.127.32 bis 192.168.127.254; als Gateway ist 192.168.127.10 eingetragen. Als DNS-Server war bis jetzt nur die 192.168.127.2 eingetragen. Seit dem ich vorhin 192.168.127.10 hinzugefuegt habe, ist bis jetzt noch kein Fehlerhaftes Paket aufgetaucht.
    WLAN ist deaktiviert am Router, Client kann momentan nur etwas sein, was angeschlossen ist. Und das wiederum ist nur der XP-Laptop, von dem ich hier schreibe. Es sind auch keine anderen DHCP-Leases rausgegeben (ausser an meine Hyper-V-Maschine).
    Der Server laeuft auf Windows Server 2008 R2, der Router auf der Tomaten-Firmware (Shibby).



  • ja, in der ip konfiguration deines dhcp-clients.
    die dns-requests kommen von einem dns-server aus einem cache. das steht in dem von dir geposteten 'code'. soweit ist das auch normal. in dem fall scheint das aber nicht ganz transparent zu passieren - zumindest fuer dein alarmprogramm nicht.
    8.8.8.8 wird vielleicht auch ueber den gleichen cache laufen, 208.67.222.222 nicht.

    jenes:

    Jonas OSDever schrieb:

    @Christoph:
    Seit dem ich den Router als alternativen DNS-Server hinterlegt hab, hab ich bis jetz noch keine Meldung mehr gekriegt.

    spricht aber auch dafuer, dass entweder der fuer dich verantwortliche cachende server ein problem hat, oder dein programm ein problem erkennt und block das keines ist. letzteres klingt fuer mich erst mal wahrscheinlicher 🙂

    edit: ich sollte vielleicht noch ergaenzen, dass das deine anfragen von einem transparenten cache beantwortet werden, nicht wirklich von einem dns-server, wie ich oben geschrieben habe. das koennte eben dein programm salopp gesagt verwirren. akamai ist spezialisiert auf solche sachen.


Log in to reply