在闲聊着事件日志的时候,我今天早上看到了一些新的东西(对我来说)。
Event Type: Information Event Source: DNS Event Category: None Event ID: 5504 Date: 9/8/2009 Time: 8:38:09 AM User: N/A Computer: MYSERVER Description: The DNS server encountered an invalid domain name in a packet from 72.233.33.107. The packet will be rejected. The event data contains the DNS packet. 我也提到了.107地址和几个.109。 所有这些都在大约5秒钟的时间内。 事件数据并不是那么有用(或者是?):
Data: 0000: 97 5b 80 05 00 00 00 00 [..... 0008: 00 00 00 00 ....
现在我很好奇…我的内部 AD域服务器如何从这些外部地址获取数据包?
我以前在我自己的内部DNS服务器上看过这个。 虽然我不记得确切的原因,但我相信这是来自DNS服务器的DNS查询的传入回答,或者如果使用转发器,则回答来自转发器的答案。 答案有你的服务器不支持的数据(DNAME?)。
以下是我要做的:在DNS服务器上安装数据包捕获程序,启动捕获和过滤DNS,继续捕获,直到您在事件日志中看到新事件,停止捕获并查找所有来往于ip的stream量在事件日志中的地址,看看数据包是传入的DNS答案或传入的DNS查询。