Makina sürekli...
 
Bildirimler
Hepsini Temizle

Makina sürekli UDP portundan farklı dış iplere DNS sorgulaması yapıyor.  

  RSS
Eyyüp Kantekin
(@EyyupKantekin)
Üye

Merhaba arkadaşlar. Makina sürekli UDP portundan farklı dış iplere DNS sorgulaması yapıyor. Process Explorer ile baktım bir şey bulamadım.


Sistemde Fortigate 110c Firewall kullanılıyor.Server oluduğu için formatlamak istemiyorum. Bunu durdurmak için ne yapabiliriz.


Teşekkür ederim. 

Alıntı
Gönderildi : 21/02/2013 16:28
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Makinada DNS sunucu kurulumu ?

CevapAlıntı
Gönderildi : 21/02/2013 22:08
Eyyüp Kantekin
(@EyyupKantekin)
Üye

Merhaba Ertan hocam. DNS kurulu değil.


Örnek tablo aşağıdadır.İçerdeki farklı UDP portlarından dışarı 53 portuna çıkış yapıyor.






























































































































































































udp 192.168.1.220 2992 8.8.8.8 53 3 42
2 udp 192.168.1.220 3004 8.8.8.8 53 3 44
3 udp 192.168.1.220 3004 8.8.4.4 53 3 44
4 udp 192.168.1.220 2992 8.8.4.4 53 3 42
5 udp 192.168.1.220 2992 203.128.7.10 53 3 42
6 udp 192.168.1.220 3004 203.128.7.10 53 3 45
7 udp 192.168.1.220 3004 210.196.3.183 53 3 45
8 udp 192.168.1.220 2992 210.196.3.183 53 3 42
9 udp 192.168.1.220 2992 203.236.43.5 53 3 42
10 udp 192.168.1.220 3004 203.236.43.5 53 3 45
11 udp 192.168.1.220 2977 168.126.63.1 53 3 26
12 udp 192.168.1.220 2991 168.126.63.1 53 3 38
13 udp 192.168.1.220 3004 163.180.96.54 53 3 45
14 udp 192.168.1.220 2992 163.180.96.54 53 3 42
15 udp 192.168.1.220 2992 212.76.127.133 53 3 42
16 udp 192.168.1.220 3004 212.76.127.133 53 3 44
17 tcp 192.168.1.220 3092 212.174.159.113 443 3 3592
18 udp 192.168.1.220 3020 210.220.163.82 53 3 57
19 udp 192.168.1.220 2992 210.220.163.82

CevapAlıntı
Gönderildi : 22/02/2013 19:19
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

[quote user="Eyyüp Kantekin"]

Merhaba Ertan hocam. DNS kurulu değil.

Örnek tablo aşağıdadır.İçerdeki farklı UDP portlarından dışarı 53 portuna çıkış yapıyor.

 

udp 192.168.1.220 2992 8.8.8.8 53 3 42
2 udp 192.168.1.220 3004 8.8.8.8 53 3 44
3 udp 192.168.1.220 3004 8.8.4.4 53 3 44
4 udp 192.168.1.220 2992 8.8.4.4 53 3 42
5 udp 192.168.1.220 2992 203.128.7.10 53 3 42
6 udp 192.168.1.220 3004 203.128.7.10 53 3 45
7 udp 192.168.1.220 3004 210.196.3.183 53 3 45
8 udp 192.168.1.220 2992 210.196.3.183 53 3 42
9 udp 192.168.1.220 2992 203.236.43.5 53 3 42
10 udp 192.168.1.220 3004 203.236.43.5 53 3 45
11 udp 192.168.1.220 2977 168.126.63.1 53 3 26
12 udp 192.168.1.220 2991 168.126.63.1 53 3 38
13 udp 192.168.1.220 3004 163.180.96.54 53 3 45
14 udp 192.168.1.220 2992 163.180.96.54 53 3 42
15 udp 192.168.1.220 2992 212.76.127.133 53 3 42
16 udp 192.168.1.220 3004 212.76.127.133 53 3 44
17 tcp 192.168.1.220 3092 212.174.159.113 443 3 3592
18 udp 192.168.1.220 3020 210.220.163.82 53 3 57
19 udp 192.168.1.220 2992 210.220.163.82


 

[/quote]

 

Windows PC de firewall sisteminde içerden dışarı doğru olarak sadece asıl DNS leriniz için 53 UTP/TCP sorgu izni verin, gerisindeki tüm hedef olarak 53 Portunu gören paketleri kapatın.

 

Birde bu sadece bu servis için mi geçerli yani diğer portlrda bu şekilde bir sorun yok mu ? her halukarda bir spyware yada malware yazılımı ile taramakta fayda var

CevapAlıntı
Gönderildi : 23/02/2013 11:25
Eyyüp Kantekin
(@EyyupKantekin)
Üye

Sadece DNS için geçerli Diğer portlarda problem yok. Sunmuş olduğun çözümü uygulayacağım. Teşekkür ederim.

CevapAlıntı
Gönderildi : 23/02/2013 11:54
 Anonim

Muhtemelen bir virus olabilir  DNS sorgu genelde mutli ip ilerden olmaz Tavsiye istersen Fortigate de bir ethernet portunu mirror edip paket sniff ile gecen veriyi analiz edebilirsin.

Yada o istek yapan makine deki tüm dns sorgusunu yerel bir dns server kurup ne sorguladığını dns cache log larından inceleyebilirsin.

2. secenekde dns log larında binay log kayıdır görüyorsan muhetemelen layer 7 filte ile ençok sistenen header bilgisini drop yada tarpid ederek çözebilirsin.

 Örnek bir görünüm analiz için daha basit software ler de var.

Yada burdan bir bak.

Fortigate in kendi sisteminde çok da başarılı bir sonuç olmayabilir.

http://kb.fortinet.com/kb/viewContent.do?externalId=11186&sliceId=1

Olmadı  Burak ŞEKERCİOĞLU Copy past inde varmiş forumda 2008 de yapiştırmiş buraya

http://www.cozumpark.com/forums/thread/60932.aspx

CevapAlıntı
Gönderildi : 24/02/2013 23:49
Paylaş: