Forum

Makina sürekli...
 
Bildirimler
Hepsini Temizle

Makina sürekli UDP portundan farklı dış iplere DNS sorgulaması yapıyor.

6 Yazılar
3 Üyeler
0 Reactions
608 Görüntüleme
(@eyyupkantekin)
Gönderiler: 24
Eminent Member
Konu başlatıcı
 

Merhaba arkadaşlar. Makina sürekli UDP portundan farklı dış iplere DNS sorgulaması yapıyor. Process Explorer ile baktım bir şey bulamadım.


Sistemde Fortigate 110c Firewall kullanılıyor.Server oluduğu için formatlamak istemiyorum. Bunu durdurmak için ne yapabiliriz.


Teşekkür ederim. 

 
Gönderildi : 21/02/2013 17:28

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Makinada DNS sunucu kurulumu ?

 
Gönderildi : 21/02/2013 23:08

(@eyyupkantekin)
Gönderiler: 24
Eminent Member
Konu başlatıcı
 

Merhaba Ertan hocam. DNS kurulu değil.


Örnek tablo aşağıdadır.İçerdeki farklı UDP portlarından dışarı 53 portuna çıkış yapıyor.






























































































































































































udp 192.168.1.220 2992 8.8.8.8 53 3 42
2 udp 192.168.1.220 3004 8.8.8.8 53 3 44
3 udp 192.168.1.220 3004 8.8.4.4 53 3 44
4 udp 192.168.1.220 2992 8.8.4.4 53 3 42
5 udp 192.168.1.220 2992 203.128.7.10 53 3 42
6 udp 192.168.1.220 3004 203.128.7.10 53 3 45
7 udp 192.168.1.220 3004 210.196.3.183 53 3 45
8 udp 192.168.1.220 2992 210.196.3.183 53 3 42
9 udp 192.168.1.220 2992 203.236.43.5 53 3 42
10 udp 192.168.1.220 3004 203.236.43.5 53 3 45
11 udp 192.168.1.220 2977 168.126.63.1 53 3 26
12 udp 192.168.1.220 2991 168.126.63.1 53 3 38
13 udp 192.168.1.220 3004 163.180.96.54 53 3 45
14 udp 192.168.1.220 2992 163.180.96.54 53 3 42
15 udp 192.168.1.220 2992 212.76.127.133 53 3 42
16 udp 192.168.1.220 3004 212.76.127.133 53 3 44
17 tcp 192.168.1.220 3092 212.174.159.113 443 3 3592
18 udp 192.168.1.220 3020 210.220.163.82 53 3 57
19 udp 192.168.1.220 2992 210.220.163.82

 
Gönderildi : 22/02/2013 20:19

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Merhaba Ertan hocam. DNS kurulu değil.

Örnek tablo aşağıdadır.İçerdeki farklı UDP portlarından dışarı 53 portuna çıkış yapıyor.

 

udp 192.168.1.220 2992 8.8.8.8 53 3 42
2 udp 192.168.1.220 3004 8.8.8.8 53 3 44
3 udp 192.168.1.220 3004 8.8.4.4 53 3 44
4 udp 192.168.1.220 2992 8.8.4.4 53 3 42
5 udp 192.168.1.220 2992 203.128.7.10 53 3 42
6 udp 192.168.1.220 3004 203.128.7.10 53 3 45
7 udp 192.168.1.220 3004 210.196.3.183 53 3 45
8 udp 192.168.1.220 2992 210.196.3.183 53 3 42
9 udp 192.168.1.220 2992 203.236.43.5 53 3 42
10 udp 192.168.1.220 3004 203.236.43.5 53 3 45
11 udp 192.168.1.220 2977 168.126.63.1 53 3 26
12 udp 192.168.1.220 2991 168.126.63.1 53 3 38
13 udp 192.168.1.220 3004 163.180.96.54 53 3 45
14 udp 192.168.1.220 2992 163.180.96.54 53 3 42
15 udp 192.168.1.220 2992 212.76.127.133 53 3 42
16 udp 192.168.1.220 3004 212.76.127.133 53 3 44
17 tcp 192.168.1.220 3092 212.174.159.113 443 3 3592
18 udp 192.168.1.220 3020 210.220.163.82 53 3 57
19 udp 192.168.1.220 2992 210.220.163.82


 

 

Windows PC de firewall sisteminde içerden dışarı doğru olarak sadece asıl DNS leriniz için 53 UTP/TCP sorgu izni verin, gerisindeki tüm hedef olarak 53 Portunu gören paketleri kapatın.

 

Birde bu sadece bu servis için mi geçerli yani diğer portlrda bu şekilde bir sorun yok mu ? her halukarda bir spyware yada malware yazılımı ile taramakta fayda var

 
Gönderildi : 23/02/2013 12:25

(@eyyupkantekin)
Gönderiler: 24
Eminent Member
Konu başlatıcı
 

Sadece DNS için geçerli Diğer portlarda problem yok. Sunmuş olduğun çözümü uygulayacağım. Teşekkür ederim.

 
Gönderildi : 23/02/2013 12:54

(@Anonim)
Gönderiler: 0
 

Muhtemelen bir virus olabilir  DNS sorgu genelde mutli ip ilerden olmaz Tavsiye istersen Fortigate de bir ethernet portunu mirror edip paket sniff ile gecen veriyi analiz edebilirsin.

Yada o istek yapan makine deki tüm dns sorgusunu yerel bir dns server kurup ne sorguladığını dns cache log larından inceleyebilirsin.

2. secenekde dns log larında binay log kayıdır görüyorsan muhetemelen layer 7 filte ile ençok sistenen header bilgisini drop yada tarpid ederek çözebilirsin.

 Örnek bir görünüm analiz için daha basit software ler de var.

Yada burdan bir bak.

Fortigate in kendi sisteminde çok da başarılı bir sonuç olmayabilir.

http://kb.fortinet.com/kb/viewContent.do?externalId=11186&sliceId=1

Olmadı  Burak ŞEKERCİOĞLU Copy past inde varmiş forumda 2008 de yapiştırmiş buraya

http://www.cozumpark.com/forums/thread/60932.aspx

 
Gönderildi : 25/02/2013 00:49

Paylaş: