Hi
wir haben durch einige Kundenanfragen erfahren, dass auf deren Firewall einer unserer DNS Server mit dem Vermerk "Ports scan UDP" geloggt wurde.
Bei näherer Untersuchung haben wir festgestellt, dass irgendjemand offensichtlich gefälschte IPs aus unserer Range als Absender für DNS Anfragen verwendet und diese an unseren DNS sendet. Dieser antwortet demnach an die gefälschte IP Adresse und wird geloggt, weil kein entsprechender Request stattgefunden hat.
Wir haben jetzt einige Zeit ein Log für alle Queries mitlaufen lassen und festgestellt, dass es sich immer um einige wenigen Zonenanfragen handelt, oftmals aus .cn. Nachdem wir alle Anfragen zu diesen Zonen ausgefiltert haben, haben wir gesehen, dass als gefälschte Absender praktisch unsere kompletten Ranges "durchprobiert" wird.
Ich denke nicht, dass das wirklich ein Problem ist, da der "Fälscher" ja keine Informationen zurückerhält, aber es würde uns trotzdem interessieren, warum das jemand machen sollte?
Kann sich jemand erklären, welchen Zweck soetwas haben könnte?
Danke und Gruss
static