Наша служба Cisco Umbrella идентифицирует DNS-запросы к rev1.globalrootservers.net и rev2.globalrootservers.net как вредоносные. Я пытаюсь выяснить, действительно ли это проблема или это ложное срабатывание. Ниже приведены все выполненные мной действия по устранению неполадок.
Единственными индикаторами вредоносности являются OpenDNS, утверждающий, что домен globalrootservers.net является вредоносным ПО, и VirusTotal-Fortinet сообщает о вредоносном ПО также для rev2.globalrootservers.net. Все указатели для DNS-имен rev1 и rev2 в настоящее время указывают на 0.0.0.0 как на IP-адрес.
Пассивные DNS-записи otx.alienvault.com для globalrootservers.net (рисунок 3) время от времени меняются, и IP-адреса преобразуются в различные ненадежные домены.
Поскольку у нас не развернуто Umbrella VA, я очистил кэш и включил ведение журнала DNS на обоих контроллерах домена. Я обнаружил доказательства попадания DNS только с контроллера домена 2016 года. После многократного перехвата запроса и ответа (рисунки 1 и 2) в течение многих дней они так и не поступили от контроллера домена 2012 года.Похоже, что источником является наш контроллер домена 2016 года, и я не могу понять, почему это так. Я включил записи ниже, если кто-то может сказать мне, что это правильно.
Рисунок 1: DNS-запрос
Рисунок 2: Ответ DNS
Затем я перехожу в кэш контроллера домена 2016 и смотрю записи. Записи из папки in-addr приведены ниже. Может ли кто-нибудь помочь мне понять, что это значит?
Поскольку записи rev1.globalrootservers.net и rev2.globalrootservers.net являются дочерними по отношению к родительским DNS-записям (которые указывают на afrinic.net, lacnic.net, apnic.net, ripe.net и arin.net), не о чем беспокоиться?
Рисунок 3: Запись родительского кэша
Рисунок 4: Дочерние записи Rev1 и Rev2
Рисунок 5: Свойства rev1 и rev2
Кроме того, при поиске IP-адреса, указанного в свойствах кэша rev1 и rev2, он указывает на Microsoft, который является управляемым экземпляром Azure SQL в диапазоне IP-адресов 20.64.0.0/10.
Я был бы очень признателен за любую помощь в определении того, является ли это реальной проблемой, ее решении или в дальнейшем устранении неполадок. Спасибо!
решение1
Я наконец нашел проблему после нескольких дней сбора журналов. Инициирующий запрос поступает с 85.93.20.247:8080. Брандмауэр блокирует запрос и немного позже пытается выполнить обратный поиск по IP. Он не может быть разрешен и в конечном итоге переходит к корневым указателям на нашем DNS-сервере, которые в конечном итоге разрешают его в rev1.globalrootservers.net и rev2.globalrootservers.net. Затем наш DNS-сервер выполняет поиск по доменам, и OpenDNS помечает его как вредоносное ПО.
Чтобы предотвратить повторение подобных ситуаций, я отключил флажок «Использовать корневые ссылки, если нет доступных пересылок» на вкладке пересылок в свойствах DNS, чтобы запретить использование корневых ссылок. Мы хотим использовать только OpenDNS и другие проверенные DNS-серверы вместо корневых ссылок. Если эти пересылки DNS не разрешают домен, мы не хотим, чтобы домен разрешался.