最近,我们遇到了“连接特定的 DNS 后缀”在我们的网络上自动更改为无效域的问题。
当系统接入网络时,我们的 DHCP 服务器会使用选项 15(DNS 域名)= our-domain.com 为其提供正确的域名后缀... 这可以在使用 ipconfig /all 获取 ip 后立即进行验证:
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix : our-domain.com
几分钟后,某个自动发现过程发现了一个新的(错误的)连接特定 DNS 后缀,并使用新信息更新了 IP 配置。使用错误信息进行更新后,ipconfig /all 更改为显示:
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix : novalocal
当发现这个“novalocal”域时,我的许多客户开始遇到名称查找问题。
这发生在 Windows 7 客户端上,我已验证无论是否安装 Bonjour 都会发生此问题。我尚未尝试禁用 SSDP 或 UPnP 服务。这种情况发生在启用了 Symantec 防火墙或 Windows 防火墙的客户端上。
我确实检查了恶意 DHCP 服务器,并且提供 / 租约仅来自我授权的 DHCP 服务器(网络上没有看到恶意服务器或发送提供)。
以前有人见过这样的事情吗?关于如何找到这个“novalocal”的来源以及如何防止我的客户端的 DNS 后缀设置被某些自动发现更改,有什么建议吗?
答案1
我发现了问题,它曾是流氓 DHCP 服务器。一名实习生正在试用默认配置 DHCP 服务器的“Open Stack”云系统。我猜他试图将其与网络隔离,但效果并不好,因为他的服务器和客户端之间的一些随机 DHCP 消息进入了主网络,并且只在我的客户端上设置了域名(而不是 IP)。奇怪的是,它没有响应来自我子网上的客户端的正常 DHCP 请求,他一定部分隔离了他的“Open Stack”流量。
我们在 wireshark 中通过数据包跟踪找到了它,并在数据包详细信息中搜索了字符串“novalocal”。它出现在几个 DHCP、SSDP、LLMNR 和 NBNS 数据包中,为我们提供了一些 IP 和 mac 地址以供追踪。然后,我查看了交换机中的 mac 表以找到他的端口,并讨论了他的测试导致的网络问题。我们正在用单独的路由器隔离他的测试网络,以防止他的本地广播流量进一步泄漏到我的 LAN 上。