Перейти к содержимому
Калькуляторы

DNS флуд статистика DNSTOP

Ответить

Antiks   

Antiks
Опубликовано · Жалоба

Недавно занялся анализом DNS запросов своих пользователей. Выяснился любопытный

факт. Очень много запросов на резолвинг одного подозрительного доменного

имени.

 

Статистика менее,чем за сутки:

nabeel27.dyndns.info 108727

 

На серверах dyndns такого доменного имени не существует, проверял.

Google на вопрос отказывается отвечать тоже.

Не могли бы вы прояснить ситуацию, если вам что-либо известно. Есть

подозрение, что этот запрос генерирует какой-то определенный вирус.

Заранее спасибо за любой ответ.

 

PS резолвинг запрещен из сетей мне не принадлежащих, т.е исключается попадание NS-ов в списки публичных DNS-серверов.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

nuclearcat   

nuclearcat
Опубликовано · Жалоба
Недавно занялся анализом DNS запросов своих пользователей. Выяснился любопытный

факт. Очень много запросов на резолвинг одного подозрительного доменного

имени.

 

Статистика менее,чем за сутки:

nabeel27.dyndns.info 108727

 

На серверах dyndns такого доменного имени не существует, проверял.

Google на вопрос отказывается отвечать тоже.

Не могли бы вы прояснить ситуацию, если вам что-либо известно. Есть

подозрение, что этот запрос генерирует какой-то определенный вирус.

Заранее спасибо за любой ответ.

 

PS резолвинг запрещен из сетей мне не принадлежащих, т.е исключается попадание NS-ов в списки публичных DNS-серверов.

Проще препарировать комп одного из зараженных. Но имя похоже на арабское. Мож кто-то троянчика мелкого масштаба и сварганил, который не ловится антивирями.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

drhyperkalich   

drhyperkalich
Опубликовано · Жалоба

есть вирусы которые испольуют dyndns для получения инфы

почитайте внимательно http://bishop3000.livejournal.com/105424.html

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Antiks   

Antiks
Опубликовано (изменено) · Жалоба
есть вирусы которые испольуют dyndns для получения инфы

почитайте внимательно http://bishop3000.livejournal.com/105424.html

Спасибо, завтра проверю не сменились ли сервера на которые идет резолвинг. Если так, то это вирус "червь Downadup (другие имена: Conficker, Kido)". или ему подобный. По крайней мере ясно будет от чего лечить своих вирусных абонентов.
Изменено пользователем Antiks

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

st_re   

st_re
Опубликовано · Жалоба

Не, у давндапа другие имена. Там более рандомно выглядит имя и пачка имен на каждый день ресолвится. на февраль их было полторы тысячи в списке от ф-секура, т.е. где-то по 60 на день.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...