Accès intempestifs en dns

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Accès intempestifs en dns

Messagepar chrlo » 20 Juin 2008 11:13

Bonjour,

Je sais trop si je poste au bon endroit...
Depuis quelques temps je constate des accès intempestifs en DNS sur un de nos contrôleurs de domaine. Le serveur en question envoie des requêtes DNS vers des Ips sur internet et celle si sont bloquées par le firewall..et ça pollue les logs.
Si vous avez une idée je suis preneur. Merci !
Avatar de l’utilisateur
chrlo
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 26 Mars 2004 17:29

Messagepar ccnet » 20 Juin 2008 13:04

je constate des accès intempestifs en DNS sur un de nos contrôleurs de domaine. Le serveur en question envoie des requêtes DNS vers des Ips sur internet

Je ne comprend pas dans quel sens cela se passe. Qui envoie les requêtes ?
Contrôleur de domaine vers internet ou le contraire ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar chrlo » 20 Juin 2008 14:15

Bjr,
C'est le contrôleur de domaine qui envoie des requêtes vers des ad ip sur le web..j'arrive pas à comprendre pourquoi. Merci !
Avatar de l’utilisateur
chrlo
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 26 Mars 2004 17:29

Messagepar ccnet » 20 Juin 2008 15:36

C'est maintenant clair. Quels sont les paramètres de la configuration réseau de la machine ? Faire un ipconfig /all. Qu'obtenons nous si l'on essaye de résoudre les ip auquel ces reqêtes sont envoyées (ping -a) ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar chrlo » 20 Juin 2008 16:46

Configuration classique pour un contrôleur de domaine :

Configuration Windows : Type de noud diffusion, Routage ip activé, Prowy WINS activé.

Carte Ethernet Réseau de sauvegarde : Intel Pro 100MT, pas de DHCP activé.

Si je fais un ping -a sur une des ips j'obtiens un délai dépassé sur ns1.isi.edu (entre autres); pas de réponse.
Avatar de l’utilisateur
chrlo
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 26 Mars 2004 17:29

Messagepar ccnet » 20 Juin 2008 17:17

chrlo a écrit:Configuration classique pour un contrôleur de domaine : ...
Si je fais un ping -a sur une des ips j'obtiens un délai dépassé sur ns1.isi.edu (entre autres); pas de réponse.

Et quoi dans les champs dns puis dans l'option avancée ...
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar ccnet » 20 Juin 2008 17:47

Je n'ai pas percuté immédiatement mais ns1.isi.edu est un dns racine. Si votre contrôleur est aussi votre dns interne (?) il faut bien qu'il fasse ses referals quelque part lorsqu'il ne sait pas trouver le dns d'un domaine, en particulier pour alimenter son cache.

http://christian.caleca.free.fr/dns/not ... ancees.htm

Tous est expliqué bien mieux que je ne pourrai le faire ici.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar chrlo » 23 Juin 2008 10:32

Merci beaucoup pour la doc, je regarder ça aujourd'hui. Je vous tiens au courant.
Avatar de l’utilisateur
chrlo
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 26 Mars 2004 17:29

Messagepar alexolait » 09 Juil 2008 17:03

Du coup peut etre qu'une de tes machines interne fais des requetes dns vers des noms que ton srv dns ne connait pas. C'est peut etre l'explication de la pollution de tes logs
alexolait
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 09 Mai 2007 22:28


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)