Cisco Umbrella identifica la solicitud de DNS como maliciosa y parece que proviene de nuestro controlador de dominio

Cisco Umbrella identifica la solicitud de DNS como maliciosa y parece que proviene de nuestro controlador de dominio

Nuestro servicio Cisco Umbrella identifica las solicitudes de DNS a rev1.globalrootservers.net y rev2.globalrootservers.net como maliciosas. Estoy intentando averiguar si esto es realmente un problema o si es un falso positivo. A continuación se muestran todas las soluciones de problemas que he realizado.

Los únicos indicadores de malicia son OpenDNS que indica que el dominio globalrootservers.net es malware y VirusTotal-Fortinet también informa malware para rev2.globalrootservers.net. Todos los punteros para los nombres DNS rev1 y rev2 actualmente apuntan a 0.0.0.0 como IP.

Las entradas DNS pasivas otx.alienvault.com para globalrootservers.net (Figura 3) cambian de vez en cuando y las IP se resuelven en varios dominios sin buena reputación.

Como no tenemos implementado el Umbrella VA, borré el caché y activé el registro de DNS en ambos controladores de dominio. Obtuve evidencia del acceso al DNS solo del controlador de dominio de 2016. Después de capturar la solicitud y la respuesta (Figuras 1 y 2) varias veces durante muchos días, nunca provino del controlador de dominio de 2012.Parece que la fuente es nuestro controlador de dominio de 2016 y no puedo entender por qué. He incluido las entradas a continuación si alguien puede decirme que esto es correcto.

Figura 1: Solicitud de DNS
ingrese la descripción de la imagen aquí

Figura 2: Respuesta DNS
ingrese la descripción de la imagen aquí

Luego voy al caché del controlador de dominio 2016 y miro las entradas. Las entradas de la carpeta in-addr se encuentran a continuación. ¿Alguien puede ayudarme a entender lo que esto significa?

Dado que las entradas rev1.globalrootservers.net y rev2.globalrootservers.net son hijas de los padres DNS (que indican afrinic.net, lacnic.net, apnic.net, rip.net y arin.net), ¿no hay nada de qué preocuparse? ¿acerca de?

Figura 3: Entrada de caché principal
ingrese la descripción de la imagen aquí
Figura 4: Entradas secundarias Rev1 y Rev2
ingrese la descripción de la imagen aquí
Figura 5: Propiedades de rev1 y rev2
ingrese la descripción de la imagen aquí

Además, al buscar la dirección IP ubicada en las propiedades del caché rev1 y rev2, apunta a Microsoft, que es una Instancia administrada de Azure SQL dentro del rango de IP 20.64.0.0/10.

Agradecería mucho cualquier ayuda para identificar si se trata de un problema real, una solución o para avanzar en la solución de problemas. ¡Gracias!

Respuesta1

Finalmente encontré el problema después de días de recopilar registros. La solicitud de inicio se produce desde 85.93.20.247:8080. El firewall bloquea la solicitud y poco después intenta realizar una búsqueda inversa en la IP. No se puede resolver y termina yendo a los solucionadores de sugerencias de raíz en nuestro servidor DNS, que finalmente lo resuelve en rev1.globalrootservers.net y rev2.globalrootservers.net. Luego, nuestro servidor DNS realiza una búsqueda en los dominios y OpenDNS lo marca como malware.

Para evitar que este tipo de cosas vuelva a suceder, desactivé la casilla de verificación "Usar sugerencias de raíz si no hay reenviadores disponibles" en la pestaña de reenviadores en las propiedades de DNS para prohibir el uso de sugerencias de raíz. Queremos utilizar únicamente OpenDNS y otros servidores DNS examinados en lugar de las sugerencias de raíz. Si esos reenviadores de DNS no resuelven el dominio, no queremos que se resuelva el dominio.

información relacionada