今天早上我在闲逛事件日志时看到了一些新的东西(对我来说)。
Event Type: Information
Event Source: DNS
Event Category: None
Event ID: 5504
Date: 9/8/2009
Time: 8:38:09 AM
User: N/A
Computer: MYSERVER
Description:
The DNS server encountered an invalid domain name in a packet from 72.233.33.107. The packet will be rejected. The event data contains the DNS packet.
我有一些提到 .107 地址,还有一些提到 .109。所有这些都在大约 5 秒的时间内完成。事件数据并不是那么有用(或者是吗?):
Data:
0000: 97 5b 80 05 00 00 00 00 [.....
0008: 00 00 00 00 ....
现在我很好奇......我的内部AD 域服务器如何从那些外部地址获取数据包?
我以前在我自己的内部 DNS 服务器上看到过这种情况。虽然我不记得确切的原因,但我相信这是来自您的 DNS 服务器的 DNS 查询的传入答案,或者如果您使用转发器,则来自转发器的答案。答案包含您的服务器不支持的数据(DNAME?)。
这就是我要做的:在 DNS 服务器上安装一个数据包捕获程序,为 DNS 启动一个捕获和过滤器,继续捕获直到您在事件日志中看到一个新事件,停止捕获并查找所有进出该 ip 的流量地址,查看数据包是传入的 DNS 答案还是传入的 DNS 查询。
解码数据给出了答案:
解码为:
神奇的是响应代码:
0: 无错误情况1: 格式错误 - 名称服务器无法解释查询。2: 服务器故障 - 由于名称服务器出现问题,名称服务器无法处理此查询3: 名称错误 - 仅对来自权威名称服务器的响应有意义,此代码表示查询中引用的域名不存在。4:未实现 - 名称服务器不支持请求的查询类型5: Refused - 名称服务器出于策略原因拒绝执行指定的操作。我们不知道为什么远程 DNS 服务器拒绝执行查询;但这些在 Windows Server 的 DNS 服务器事件日志中显示为信息泛滥。
也许外部服务器被要求执行递归并且不想。