[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:03539] dns に関するパケットのログについて
- To: connect24h@xxxxxxxxxxxxxxxxxxxx
- Subject: [connect24h:03539] dns に関するパケットのログについて
- From: 山中 慎一 <y-shin@xxxxxxxxxxxxxxxxxx>
- Date: Thu, 19 Jul 2001 12:00:53 +0900
はじめまして、山中と申します。
Laser5 Linux6.4でipchainsを使用してpcルーターを構築し使用しています。
そのマシンのログを見ていたところ気になるところが出てきましたので
教えていただきたく、メールいたしました。
ログの内容
(1)input DENY eth0 PROTO=17 aaa.bbb.ccc.ddd:937 eee.fff.ggg.hhh:53
(1)input DENY eth0 PROTO=17 aaa.bbb.ccc.ddd:937 eee.fff.ggg.hhh:53
(2)input DENY eth0 PROTO=17 aaa.bbb.ccc.ddd:945 eee.fff.ggg.iii:53
(2)input DENY eth0 PROTO=17 aaa.bbb.ccc.ddd:945 eee.fff.ggg.iii:53
(3)input DENY eth0 PROTO=17 jjj.kkk.lll.mmm:53 eee.fff.ggg.iii:53
この内、aaa.bbb.ccc.dddは同一のIPアドレスで、nslookup -q=ns で調べると
どうも登録されたdnsサーバーではないようですが、この点に関しては気にする
必要はないと思っています。
eee.fff.ggg.hhh,eee.fff.ggg.iiiはpcルーター下にある同じネットワーク内の
dnsサーバーのIPアドレスです。
jjj.kkk.lll.mmm関しては複数あり、私が調べた範囲ではすべてdnsサーバーでし
た。
(1)(2)に関しては、7/18の21時29分から21時31分の間だけのアクセスだったので
不正なアクセスと思っているのですがどうでしょうか?
イントラネット内に、イントラネット専用のdnsサーバーを置けば
dnsサーバーとして登録されていないIPアドレスからの参照はありえると
思っているのですが、気になっている所は送信元が使用しているポート番号です。
通常なら1024以上のポート番号を使用して、参照にくると思っていたのですが
実際、送信元が937や945といった辺りのポート番号を使用しての参照って有り得
るのでしょうか。
(3)に関しても、送信元が使用しているポート番号が気になっています。
現在は、eee.fff.ggg.hhh:53当てのパケットは通し、eee.fff.ggg.iii:53当ての
パケットは止めています。
現在、dnsにbindを使用していますが、こちらのdnsサーバーが他のdnsサーバー
を参照しに行く時のログをみていても、送信元が使用するポート番号は1024以降
でした。
両方共に、パケットを通すか止めるか迷っている状態です。
この辺のことに関しても、アドバイス頂けないでしょうか。
よろしくお願いします。
--
Shinichi Yamanaka <y-shin@xxxxxxxxxxxxxxxxxx>
------------------------------------------------------------------------
えっ、友達とのペアで毎日100万円が当たるチャンス! 楽ぴた倶楽部
http://www.rakupita.ne.jp/