- Много запросов днс на циске,
 vest, 13:39 , 26-Май-09 (1)>[оверквотинг удален]
> permit udp host 192.168.10.2 host 83.242.140.10 eq domain
> permit udp host 192.168.10.2 host 83.242.139.10 eq domain
> permit udp host 192.168.10.3 host 83.242.140.10 eq domain
> permit udp host 192.168.10.3 host 83.242.139.10 eq domain
>
>ip access-list extended Local_to_Comstar
> permit udp host 192.168.10.2 host 83.242.140.10 eq domain
>
>Всем спасибо!
>У вас внутренний ДНС находится во внутренней сети?
Попробуйте сделать подобный список на внутреннем интерфейсе:
cisco(config)#access-list 100 permit udp host <IP внутреннего ДНС> eq domain host 83.242.140.10 eq domain
cisco(config)#access-list 100 deny udp any eq domain any eq domain
cisco(config)#access-list 100 permit ip any any
cisco(config-if)#ip access-group 100 in
и на внешнем, с учетом вашей политики безопасности относительно доступа из вне:
cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain
cisco(config)#access-list 110 deny udp any eq domain any eq domain
cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски>
cisco(config-if)#ip access-group 110 in Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из внутренней сети могли обращаться "правильные" пользователи.
- Много запросов днс на циске, DNS и Cisco, 13:59 , 26-Май-09 (2)
>[оверквотинг удален]
>cisco(config-if)#ip access-group 100 in
>и на внешнем, с учетом вашей политики безопасности относительно доступа из вне:
>
>cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain
>cisco(config)#access-list 110 deny udp any eq domain any eq domain
>cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски>
>cisco(config-if)#ip access-group 110 in
>
>Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из
>внутренней сети могли обращаться "правильные" пользователи. у меня используется технология ip inspect для открытия обратных портов на внешнем интерфейсе
ip inspect name IPFW dns
ip inspect name IPFW http
ip inspect name IPFW tcp
ip inspect name IPFW udp
ip inspect name IPFW icmp
ip inspect name IPFW ftp
согласно списку доступа наложенным на внешней интерфейс то днс из вне блокируется для всех адресов
ip access-list extended Comstar_2
permit icmp any host 1.1.1.1
permit tcp any host 1.1.1.1 eq smtp
permit udp any host 1.1.1.1 eq isakmp
permit udp any host 1.1.1.1 eq non500-isakmp
permit esp any host 1.1.1.1
а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены только с адреса 192.168.10.2 на днс прова 83.26.140.10
т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?
- Много запросов днс на циске, DNS и Cisco, 14:01 , 26-Май-09 (3)
>[оверквотинг удален]
> permit tcp any host 1.1.1.1 eq smtp
> permit udp any host 1.1.1.1 eq isakmp
> permit udp any host 1.1.1.1 eq non500-isakmp
> permit esp any host 1.1.1.1
>
>а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены
>только с адреса 192.168.10.2 на днс прова 83.26.140.10
>
>т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?
>да,внутренний днс находиться внутри сети
- Много запросов днс на циске, vest, 00:39 , 27-Май-09 (5)
>[оверквотинг удален]
>> permit udp any host 1.1.1.1 eq non500-isakmp
>> permit esp any host 1.1.1.1
>>
>>а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены
>>только с адреса 192.168.10.2 на днс прова 83.26.140.10
>>
>>т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?
>>
>
>да,внутренний днс находиться внутри сети Тогда вы не там ищите решение, не надо пытаться поставить костыли, тем более что в данном случае это проблематично, надо лечить причину.
Если постоянные запросы на трансляцию в нат идут с внутреннего dns-сервера, то кто-то же эти запросы создает, не правда ли? Если не сам сервер, то кто-то 3-й? :)
Шерше ля фам. :)
Посмотрите на сервере, кто на него шлет постоянно запросы....... в логах должно быть видно.
- IMHO, у вас вирус на 192.168.10.2, j_vw, 20:41 , 26-Май-09 (4)
- IMHO, у вас вирус на 192.168.10.2, SergTel, 22:31 , 27-Май-09 (6)
>. НЕ факт
вирус на хосте что запросы кидает на 192.168.10.2
Была ситуация точь в точь
вирус на букере работника оказался
он только проверить хотел букер на вирусы
Каспер KIT как публичный дом светился
ситуация при этом была на рутере гиблая
Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и не обязательно с выходом через нат
- IMHO, у вас вирус на 192.168.10.2, DNS и Cisco, 09:21 , 28-Май-09 (7)
>[оверквотинг удален]
>
>НЕ факт
>вирус на хосте что запросы кидает на 192.168.10.2
>Была ситуация точь в точь
>вирус на букере работника оказался
>он только проверить хотел букер на вирусы
>Каспер KIT как публичный дом светился
>ситуация при этом была на рутере гиблая
>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>не обязательно с выходом через нат SergTel
милый человек,а ты не подскажешь как этот вирус назывался или хотя бы чем победили заразу эту?
- IMHO, у вас вирус на 192.168.10.2, huk, 10:23 , 28-Май-09 (8)
>[оверквотинг удален]
>>вирус на букере работника оказался
>>он только проверить хотел букер на вирусы
>>Каспер KIT как публичный дом светился
>>ситуация при этом была на рутере гиблая
>>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>>не обязательно с выходом через нат
>
>SergTel
>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>чем победили заразу эту? Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а дальше хоть в плоть до переустановки системы... это ж уже творческий подоход
- IMHO, у вас вирус на 192.168.10.2, DNS и Cisco, 10:25 , 28-Май-09 (9)
>[оверквотинг удален]
>>>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>>>не обязательно с выходом через нат
>>
>>SergTel
>>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>>чем победили заразу эту?
>
>Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а
>дальше хоть в плоть до переустановки системы... это ж уже творческий
>подоход по логам там ничего подозрительного нет,к сожалению....или я не там смотрю
- IMHO, у вас вирус на 192.168.10.2, huk, 10:32 , 28-Май-09 (10)
>[оверквотинг удален]
>>>
>>>SergTel
>>>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>>>чем победили заразу эту?
>>
>>Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а
>>дальше хоть в плоть до переустановки системы... это ж уже творческий
>>подоход
>
>по логам там ничего подозрительного нет,к сожалению....или я не там смотрю Система какая? Виндюки что ли? Тогда я пас...
- Вот Это попробуйте:, j_vw, 21:09 , 28-Май-09 (11)
- И, если это ТО, о чем я думаю (+), j_vw, 22:42 , 28-Май-09 (12)
То ЭТО вам поможет в диагностике
ip access-list extended TRAP
permit tcp any host "SMTP1" eq smtp
permit tcp any host "SMTP2" eq smtp
deny tcp any any eq smtp log
permit ip any any
interface "Inside"
ip access-group TRAP in
- Правда, это если у вас не собственный почтовик внутри (-), j_vw, 22:47 , 28-Май-09 (13)
- Правда, это если у вас не собственный почтовик внутри (-), momo, 23:26 , 28-Май-09 (14)
>>Вот что интересное выдало tcpview на самом контроллере...я так понимаю сам dns сервер на контроллере и подтупливает так как прогонял и нодом и касперов с последними обновлениями на наличие виря и они ничего не нашли dns.exe:4092 UDP adm-serv3:63923 *:*
dns.exe:4092 UDP adm-serv3:50045 *:*
dns.exe:4092 UDP adm-serv3:65208 *:*
dns.exe:4092 UDP adm-serv3:64694 *:*
dns.exe:4092 UDP adm-serv3:55185 *:*
dns.exe:4092 UDP adm-serv3:55442 *:*
dns.exe:4092 UDP adm-serv3:62895 *:*
dns.exe:4092 UDP adm-serv3:55699 *:*
dns.exe:4092 UDP adm-serv3:52358 *:*
dns.exe:4092 UDP adm-serv3:52615 *:*
dns.exe:4092 UDP adm-serv3:59297 *:*
dns.exe:4092 UDP adm-serv3:54156 *:*
dns.exe:4092 UDP adm-serv3:51586 *:*
dns.exe:4092 UDP adm-serv3:65207 *:*
dns.exe:4092 UDP adm-serv3:55184 *:*
dns.exe:4092 UDP adm-serv3:59296 *:*
dns.exe:4092 UDP adm-serv3:53899 *:*
dns.exe:4092 UDP adm-serv3:62894 *:*
dns.exe:4092 UDP adm-serv3:60067 *:*
dns.exe:4092 UDP adm-serv3:62380 *:*
dns.exe:4092 UDP adm-serv3:58782 *:*
dns.exe:4092 UDP adm-serv3:52871 *:*
dns.exe:4092 UDP adm-serv3:64436 *:*
dns.exe:4092 UDP adm-serv3:59039 *:*
dns.exe:4092 UDP adm-serv3:64179 *:*
dns.exe:4092 UDP adm-serv3:55698 *:*
dns.exe:4092 UDP adm-serv3:62893 *:*
dns.exe:4092 UDP adm-serv3:54926 *:*
dns.exe:4092 UDP adm-serv3:50300 *:*
dns.exe:4092 UDP adm-serv3:65206 *:*
dns.exe:4092 UDP adm-serv3:49786 *:*
dns.exe:4092 UDP adm-serv3:54412 *:*
dns.exe:4092 UDP adm-serv3:49529 *:*
dns.exe:4092 UDP adm-serv3:51585 *:*
dns.exe:4092 UDP adm-serv3:64178 *:*
dns.exe:4092 UDP adm-serv3:59038 *:*
dns.exe:4092 UDP adm-serv3:61865 *:*
dns.exe:4092 UDP adm-serv3:50814 *:*
dns.exe:4092 UDP adm-serv3:56724 *:*
dns.exe:4092 UDP adm-serv3:62635 *:*
dns.exe:4092 UDP adm-serv3:51070 *:*
dns.exe:4092 UDP adm-serv3:54411 *:*
думаю что это явно не правильно
- Это выходит за рамки данной конференции, j_vw, 23:41 , 28-Май-09 (15)
"Обходной" маневр :
Настройте в качестве сервера DNS - кошку.
А на кошке пропишите редирект на ваш DNSВот тогда по sh ip nat tra вы сможете увидить "виновника" ;)
Но 100% загрузку в случае вируса можете схватить "на раз" ;)
- Это выходит за рамки данной конференции, momo, 23:49 , 28-Май-09 (16)
>"Обходной" маневр :
>Настройте в качестве сервера DNS - кошку.
>А на кошке пропишите редирект на ваш DNS
>
>Вот тогда по sh ip nat tra вы сможете увидить "виновника" ;)
>
>Но 100% загрузку в случае вируса можете схватить "на раз" ;) пробовал только вот циска тут же умерла когда я настроил на ней днс..процессор не выдержал нагрузки
- Ну, не умерла...., j_vw, 23:52 , 28-Май-09 (18)
Пароль будете 10 минут набирать...
Но, подозрение на вирус - определенное...
Перехват по SMTP делали?
- DNS сервер, понятно, в другую подсеть....(-), j_vw, 23:50 , 28-Май-09 (17)
- DNS сервер, понятно, в другую подсеть....(-), momo, 23:59 , 28-Май-09 (19)
>>нет не делал..как можно проделать данную процедуру?
- DNS сервер, понятно, в другую подсеть....(-), huk, 10:33 , 29-Май-09 (20)
>>>
>
>нет не делал..как можно проделать данную процедуру? скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
установите на сервер и смотрите откуда идут запросы, если в логах не можете найти.
- DNS сервер, понятно, в другую подсеть....(-), momo, 13:12 , 29-Май-09 (21)
>>>>
>>
>>нет не делал..как можно проделать данную процедуру?
>
>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>установите на сервер и смотрите откуда идут запросы, если в логах не
>можете найти. собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере он показывает что кроме почтовика никто запросы на обработку внешних запросов никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не так много
- DNS сервер, понятно, в другую подсеть....(-), huk, 14:12 , 29-Май-09 (22)
>[оверквотинг удален]
>>>нет не делал..как можно проделать данную процедуру?
>>
>>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>>установите на сервер и смотрите откуда идут запросы, если в логах не
>>можете найти.
>
>собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере
>он показывает что кроме почтовика никто запросы на обработку внешних запросов
>никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не
>так много В общем... Я уже запутался сколько у вас физически серверных машинок и какие сервера на них подняты... Тем более, если у Вас виндюки стоят.... но это собственно не особо важно, если Вы выяснили какая физически машинка посылает постоянно основную массу запросов...
Берете еще одну машинку... поднимаете на ней тоже самое и ставите на место той, которая шлет всякую х**, а старую временно в угол, отключенной от сети. Если эта х** через циску прекратится, то значит сносите систему на старой машинке к едрени фени ставите все заново...
Если бы юзали *nix на серверах, то было бы проще... там хоть завирусоваться нельзя...
- DNS сервер, понятно, в другую подсеть....(-), SergTel, 14:41 , 29-Май-09 (23)
>[оверквотинг удален]
>>>нет не делал..как можно проделать данную процедуру?
>>
>>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>>установите на сервер и смотрите откуда идут запросы, если в логах не
>>можете найти.
>
>собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере
>он показывает что кроме почтовика никто запросы на обработку внешних запросов
>никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не
>так много О как много написано!!!
1)Трафик ниоткуда не возьмется его кто-то генерит
Значит надо найти генератора трафика
2)Если в данный момент нет трафика это не значит что его и не будет в будущем, скорее всего данный хост просто выключен
3)Отлов делать исходя из пункта 2 в момент "тупления" интернета.
4)Не все вирусы определяются антивирусной системой
Практика показала что снятие винта с "чистой" машины и подключением к хосту с изначально установленным антивирусом находило достаточно много вирусни в основном BOOT and autoruns types
P.S.
Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и ждать..ждать.. или приобрести лицензию на рабочие станции и установить.
После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под новелом крутился иначе давно бы упал)причем машинка даже в инет не ходила все по сетке и флешках натаскали.
После установки и чистки систем служебный трафик упал в 4 раза.
Судя по описанию это разновидность DOS или DDOS ее могут делать как черви так и бэкдоры
Так что желаю Вам приятной охоты с успешным финалом - DNS сервер, понятно, в другую подсеть....(-), SergTel, 14:45 , 29-Май-09 (24)
Да и нормальный провайдер всегда предупреждает о наличии от пользователя подозрительной активности на строго определенных портах
- DNS сервер, понятно, в другую подсеть....(-), momo, 14:47 , 29-Май-09 (25)
>[оверквотинг удален]
>Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и
>ждать..ждать.. или приобрести лицензию на рабочие станции и установить.
>После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте
>умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под
>новелом крутился иначе давно бы упал)причем машинка даже в инет не
>ходила все по сетке и флешках натаскали.
>После установки и чистки систем служебный трафик упал в 4 раза.
>Судя по описанию это разновидность DOS или DDOS ее могут делать как
>черви так и бэкдоры
>Так что желаю Вам приятной охоты с успешным финалом спасибо всем кто откликнулся....Проблему удалось решить поднятием друго днс сервера. Запросы по 53 перестали нагружить циску. Видимо сам днс сервер на винде начал подтупливать)
|
Версия для распечатки
Много запросов днс на циске, 
