Как просмотреть на DNS — сервере Windows Server 2003 R2 с каких узлов идут запросы на определение ip адреса ресурса n.hmiblgoja.ru?

Question

[Nabi Alimetov]

Здравствуйте!
Как определить узлы, которых идут запросы к DNS серверу?

Comments

[maxtar]

В оснастке DNS, в свойствах сервера можно включить журнал отладки.
Журнал отладки (он-же лог-файл) содержит всю информацию о запросах и их обработке.

[Nabi Alimetov]

maxtar: Журнал отладки включил. А где теперь просматривать запросы?

[maxtar]

alnabi: Внизу вкладки "Debug logging" есть поле для указания имени файла и пути к нему. Не заметить сложно. :)

[Nabi Alimetov]

maxtar: спасибо. все нашел, запустил. Но узел, с которого пытаются резолвит n.hmiblgoja.ru там нет.

[maxtar]

Значит за время работы режима отладки таких запросов не поступало. Можете оставить logging пока не появится, только отслеживайте загрузку и размер лога.

Кстати зачем вам вообще это понадобилось?

[Nabi Alimetov]

maxtar:С недавних пор почта перестала уходить из локальной сети. При попытке отправки приходит сообщение, что ip адрес блокирован на сайте www.abuseat.org. На самом сайте по этому поводу пишут:
his IP is infected with, or is NATting for a machine infected with Win32/Dorkbot

This was detected by observing this IP attempting to make contact to a Win32/Dorkbot Command and Control server, with contents unique to Win32/Dorkbot C&C command protocols.

Win32/Dorkbot is a worm, and can travel to infect other computers via Instant Messaging, Twitter, Facebook and even USB drives.

Once installed, it gets involved with clickfraud, and can act as "ransomware" - locking the user out of their computer or encrypting the contents until the user pays a "ransom".

This was detected by a TCP/IP connection from MY_IP on port 20389 going to IP address 192.42.116.41 (the sinkhole) on port 3720.

The botnet command and control domain for this connection was "n.hmiblgoja.ru".

[maxtar]

Это уже несколько другая задача. %MY_IP% - статический? Сеть большая?

[Nabi Alimetov]

maxtar: ip статический. В сети где-то 60 компов.

[maxtar]

В общем - у вас две задачи. Они обе сильно отличаются от заданного вопроса, возможно вам имеет смысл задать отдельные вопросы или попробовать найти решение самому. Задачи:
1. Проверить компьютеры на заражение Win32/Dorkbot
2. Обратиться на www.abuseat.org для удаления вашего IP из блока.

PS Я только сейчас понял, что пишу ответы в качестве комментариев к вопросу. :(

[Nabi Alimetov]

maxtar: компьютеры проверены касперским централизованно. Плюс к этому у компьютеров нет прямого выхода в Интернет: только через squid. Ip адрес удалял неоднократно. Опять попадает в их блек лист.

[maxtar]

А в squid логи ведутся? Можно в них посмотреть.
Ну и отдельная забота - борьба с www.abuseat.org - не знаю, как с ними бороться.

[Nabi Alimetov]

Логи то ведутся. Но из squida с 46423 ничего ведь не отправляется. А abuseat.org говорит, что трафик идет с этого порта.

Answer 1

[maxtar]

В оснастке DNS, в свойствах сервера можно включить журнал отладки.
Журнал отладки (он-же лог-файл, указывается на той-же вкладке) содержит всю информацию о запросах и их обработке.

Answer 2

[Иван Базайченко]

воспользуйтесь WireShark. Наснифанный траффик поизучать и станет понятно кто и зачем ходит.

Comments

[Nabi Alimetov]

WireShark установит на DNS сервер?

[Иван Базайченко]

alnabi: да. Профилирование запросов стандартными средствами вам, в принципе, тоже подойдет.