Discussione:
Richieste DNS
(troppo vecchio per rispondere)
Dario Canuto
2008-04-29 12:35:54 UTC
Permalink
Ciao,
ho un problema che mi sta creando un fastidioso mal di testa, e spero che
qualcuno possa darmi una mano.
Situazione: DC con windows 2003 Sp2, 2 schede di rete una Lan e l'altra
internet, aggiornamento da ISA 2004 a ISA 2006 da circa 10 giorni. Da quando
ho fatto l'aggiornamento continuo a vedere da parte del server chiamate a
server DNS esterni (Es. 193.203.230.10, 80.12.255.159, 64.12.51.132 ecc ecc.
e comunqe sempre diversi) ho rivisto la configurazione mille volte o
attivato un analizzatore del traffico e l'unica cosa strana che ho visto è
che appena il server si avvia il servizio DNS.exe risulta connesso ad uno di
questi ip tramite la porta 53 ma non riesco a capire come correggere il
problema, ho eseguito verifiche antivirus anche in modalità provvisoria ma
non ho rilevato nulla.
Grazie mille in anticipo per ogni suggerimento
Edoardo Benussi [MVP]
2008-04-29 12:56:03 UTC
Permalink
Post by Dario Canuto
Ciao,
ho un problema che mi sta creando un fastidioso mal di testa, e spero
che qualcuno possa darmi una mano.
Situazione: DC con windows 2003 Sp2, 2 schede di rete una Lan e
l'altra internet, aggiornamento da ISA 2004 a ISA 2006 da circa 10
giorni. Da quando ho fatto l'aggiornamento continuo a vedere da parte
del server chiamate a server DNS esterni (Es. 193.203.230.10,
80.12.255.159, 64.12.51.132 ecc ecc. e comunqe sempre diversi) ho
rivisto la configurazione mille volte o attivato un analizzatore del
traffico e l'unica cosa strana che ho visto è che appena il server si
avvia il servizio DNS.exe risulta connesso ad uno di questi ip
tramite la porta 53 ma non riesco a capire come correggere il
problema, ho eseguito verifiche antivirus anche in modalità
provvisoria ma non ho rilevato nulla. Grazie mille in anticipo per ogni
suggerimento
cosa ci trovi di strano visto che il tuo dc
è anche dns autoritativo per il dominio
e usa i root hints per risolvere gli alias
che non appartengono al tuo dominio ?

il funzionamento ( a meno che io non
abbia letto male il tuo post) è corretto.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Dario Canuto
2008-04-29 13:11:19 UTC
Permalink
In effetti anch'io ho fatto lo stesso tipo di considerazione, però ho notato
che le richieste proseguono con frequenza rapidissima anche se stacco il
server dalla LAN e lo lascio solo connesso ad internet. E normale anche in
questo caso?
Inoltre su di un salto server gemello (utilizzato per fare dei test) ma con
ancora ISA 2004 non rilevo questo tipo di traffico.

grazie mille.
Post by Edoardo Benussi [MVP]
Post by Dario Canuto
Ciao,
ho un problema che mi sta creando un fastidioso mal di testa, e spero
che qualcuno possa darmi una mano.
Situazione: DC con windows 2003 Sp2, 2 schede di rete una Lan e
l'altra internet, aggiornamento da ISA 2004 a ISA 2006 da circa 10
giorni. Da quando ho fatto l'aggiornamento continuo a vedere da parte
del server chiamate a server DNS esterni (Es. 193.203.230.10,
80.12.255.159, 64.12.51.132 ecc ecc. e comunqe sempre diversi) ho
rivisto la configurazione mille volte o attivato un analizzatore del
traffico e l'unica cosa strana che ho visto è che appena il server si
avvia il servizio DNS.exe risulta connesso ad uno di questi ip
tramite la porta 53 ma non riesco a capire come correggere il
problema, ho eseguito verifiche antivirus anche in modalità
provvisoria ma non ho rilevato nulla. Grazie mille in anticipo per ogni
suggerimento
cosa ci trovi di strano visto che il tuo dc
è anche dns autoritativo per il dominio
e usa i root hints per risolvere gli alias
che non appartengono al tuo dominio ?
il funzionamento ( a meno che io non
abbia letto male il tuo post) è corretto.
--
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Edoardo Benussi [MVP]
2008-04-29 13:29:34 UTC
Permalink
Post by Dario Canuto
In effetti anch'io ho fatto lo stesso tipo di considerazione, però ho
notato che le richieste proseguono con frequenza rapidissima anche se
stacco il server dalla LAN e lo lascio solo connesso ad internet. E
normale anche in questo caso?
Inoltre su di un salto server gemello (utilizzato per fare dei test)
ma con ancora ISA 2004 non rilevo questo tipo di traffico.
una scansione "anti-tutto" su questo server
che fa traffico sospetto l'hai fatta ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Dario Canuto
2008-04-29 13:54:48 UTC
Permalink
Questo messaggio potrebbe essere inappropriato. Clicca per visualizzarlo
Edoardo Benussi [MVP]
2008-04-29 15:07:23 UTC
Permalink
Post by Dario Canuto
dipende cosa intendi per "anti-tutto" diciamo che Antivirus (Norton e
Nod32), analisi registro con HijackThis e lettura quasi manuale delle
"chiavi sensibili" (Run, runonce ecc), analisi traffico con ethereal
e APort analizer, diciamo che l'ho fatto. Non credo che si tratti di
un attacco Dos piuttosto credo mi sia sfuggito qualcosa sulla
configurazione dns ma non riesco a capire cosa.
ma tu hai detto che non hai cambiato nulla
della configurazione tranne migrare isa dalla versione 2k4 alla 2k6.
o sbaglio ?
Post by Dario Canuto
Tieni presente che
nel registo eventi relativamente al DNS ho trovato diverse
segnalazioni come questa: Il server DNS ha rilevato un nome di dominio non
valido in un
pacchetto da 209.130.152.244. Il pacchetto verrà rifiutato. Il
pacchetto DNS è contenuto nei dati dell'evento.
id della segnalazione ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Dario Canuto
2008-04-29 15:50:25 UTC
Permalink
Risolto. In effetti avevi ragione con la prima osservazione relativamente ai
root hints. Mi sono andato a rivedere i vecchi log e in effetti non è vero
che con ISA 2004 non lo faceva era solo che non l'avevo rilevato (così
imparo a guardare i log 2 volte l'anno), ho disabilitato le query ricorsive
e tutto si è risolto, facendo questo ho rilevato che c'era ancora attivo un
servizio che cercava un vecchio server ormai staccato da tempo e per questo
il povero dc cercava di risolvere il nome in giro per il mondo.

grazie mille per i suggerimenti. Ciao.
Post by Edoardo Benussi [MVP]
Post by Dario Canuto
dipende cosa intendi per "anti-tutto" diciamo che Antivirus (Norton e
Nod32), analisi registro con HijackThis e lettura quasi manuale delle
"chiavi sensibili" (Run, runonce ecc), analisi traffico con ethereal
e APort analizer, diciamo che l'ho fatto. Non credo che si tratti di
un attacco Dos piuttosto credo mi sia sfuggito qualcosa sulla
configurazione dns ma non riesco a capire cosa.
ma tu hai detto che non hai cambiato nulla
della configurazione tranne migrare isa dalla versione 2k4 alla 2k6.
o sbaglio ?
Post by Dario Canuto
Tieni presente che
nel registo eventi relativamente al DNS ho trovato diverse
segnalazioni come questa: Il server DNS ha rilevato un nome di dominio
non valido in un
pacchetto da 209.130.152.244. Il pacchetto verrà rifiutato. Il
pacchetto DNS è contenuto nei dati dell'evento.
id della segnalazione ?
--
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Edoardo Benussi [MVP]
2008-04-30 06:34:49 UTC
Permalink
Post by Dario Canuto
Risolto. In effetti avevi ragione con la prima osservazione
relativamente ai root hints. Mi sono andato a rivedere i vecchi log e
in effetti non è vero che con ISA 2004 non lo faceva era solo che non
l'avevo rilevato (così imparo a guardare i log 2 volte l'anno), ho
disabilitato le query ricorsive e tutto si è risolto, facendo questo
ho rilevato che c'era ancora attivo un servizio che cercava un
vecchio server ormai staccato da tempo e per questo il povero dc
cercava di risolvere il nome in giro per il mondo.
grazie mille per i suggerimenti. Ciao.
grazie a te del feedback, ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Continua a leggere su narkive:
Loading...