Razão para respostas excessivas de nxdomain de DNS para domínios

2

Vejo muitas respostas NXDOMAIN de máquinas na minha rede para domínios como os seguintes:

ffubpjjoprrlpzx.corp.ad.broadcom.com 
vwgpcnmoxqsszq.corp.ad.broadcom.com 
jlvnxrsykybw.corp.ad.broadcom.com
aroxzxpasgogr.corp.ad.broadcom.com

As falhas não estão limitadas à broadcom, mas também a outros websites. Isso é alguma forma de sobrecarga de DNS? Alguém poderia explicar se os domínios de propaganda fazem esse tipo de coisa e sua finalidade? Ou isso é um problema de segurança?

    
por DaTaBomB 11.08.2015 / 12:18

3 respostas

2

Você verá isso se as pessoas da sua rede estiverem usando o Chrome. O Chrome faz um teste anti-spoofing do DNS que causa essas entradas .

    
por 11.08.2015 / 20:03
1

Esta resposta provavelmente está errada, tendo olhado para Aaron. Falso alarme, estou muito acostumada a lidar com os ataques descritos abaixo ultimamente.

Este é um ataque de randomização de rótulo de DNS em andamento. Você precisa identificar os dispositivos que fazem a consulta e verificar se eles não estão encaminhando consultas em nome de outros dispositivos. Lembre-se de que os IPs de origem podem ser falsificados, para que você possa seguir apenas a origem desde os dispositivos que você controla.

Encontre a origem dessas consultas e conecte-a. Você provavelmente tem um resolvedor aberto em algum lugar.

    
por 11.08.2015 / 18:02
0

É difícil dizer exatamente o que está acontecendo sem poder investigar as máquinas afetadas, no entanto, isso parece ser algum tipo de mecanismo de "pingback" usando DNS.

Por especificações do DNS, as falhas de consulta nunca devem ser armazenadas em cache por um cache do resolvedor, portanto, cada solicitação para esses domínios atinge os servidores de nomes autoritativos. Eu não estou confiante porque eles fazem isso, mas claramente há algo muito provável do outro lado contando os resultados e coletando estatísticas. Se for sofisticado o suficiente, pode até mesmo enviar informações codificando-as nessas pesquisas de nomes.

Você deve tentar identificar a origem dessas solicitações e verificar se o computador / servidor não está infectado por spyware / malware. Você também pode configurar seu resolvedor de DNS para enviar todas as consultas para o domínio (ad.broadcom.com) para alguns servidores simulados / inexistentes, para que as consultas não atinjam o destino pretendido.

PS: Todas essas consultas acabam em um domínio da broadcom.com que é uma grande corporação dos EUA, então eu não ficaria muito preocupado - você deve verificar se um utilitário da Broadcom faz isso e talvez perguntar por que a empresa. .. Mas se fosse para algum domínio obscuro que definitivamente seria preocupante.

    
por 11.08.2015 / 15:32