今天早上,当我闲着没事地查看事件日志时,我发现了一些新的东西(对我来说)。
Event Type: Information
Event Source: DNS
Event Category: None
Event ID: 5504
Date: 9/8/2009
Time: 8:38:09 AM
User: N/A
Computer: MYSERVER
Description:
The DNS server encountered an invalid domain name in a packet from 72.233.33.107. The packet will be rejected. The event data contains the DNS packet.
我收到了一些提到 .107 地址的消息,还有几个提到 .109 地址的消息。所有这些都发生在大约 5 秒的时间内。事件数据并不是那么有用(或者有用吗?):
Data:
0000: 97 5b 80 05 00 00 00 00 [.....
0008: 00 00 00 00 ....
现在我很好奇......我的内部的AD 域服务器从这些服务器获取数据包外部的地址?
答案1
我以前在自己的内部 DNS 服务器上见过这种情况。虽然我不记得确切的原因,但我相信这是来自您的 DNS 服务器的 DNS 查询的传入答案,或者如果您使用转发器,则是来自转发器的答案。答案中包含您的服务器不支持的数据(DNAME?)。
我要做的是:在 DNS 服务器上安装一个数据包捕获程序,启动捕获并过滤 DNS,继续捕获直到在事件日志中看到新事件,停止捕获并在事件日志中查找往返于 IP 地址的所有流量,查看数据包是传入的 DNS 答案还是传入的 DNS 查询。
答案2
解码数据得出答案:
Data:
0000: 97 5b 80 05 00 00 00 00 [.....
0008: 00 00 00 00 ....
解码后为:
97 5b ID A random 16-bit query id, used to match up requests with respones
80 A bitstring
1....... QR (Query Response) 1: this is a response.
.0000... Opcode 0: standard query
.....0.. AA (Authorative Answer). 0: response is not authoratative.
......0. TC (TrunCation) 0: response is not truncated
.......0 RD (Recursion Desired) 0: recursion not desired
05 A bitstring
0....... RA (Recursion Available)
.000.... Z (Reserved)
....1001 RCODE (Response Code) 5: Refused
魔法是响应代码:
0:无错误情况1:格式错误 - 名称服务器无法解释查询。2:服务器故障 - 由于名称服务器出现问题,名称服务器无法处理此查询3:名称错误 - 仅对来自权威名称服务器的响应有意义,此代码表示查询中引用的域名不存在。4:未实现 - 名称服务器不支持请求的查询类型5:拒绝 – 名称服务器由于政策原因拒绝执行指定的操作。
我们不知道为什么远程 DNS 服务器拒绝执行查询;但这些查询会以信息洪流的形式出现在 Windows Server 的 DNS 服务器事件日志中。
也许外部服务器被要求执行递归但是它不愿意。