請大家幫忙一下,因為我在網路上趴文都沒找到解決方法。
※※※※事由※※※※
公司架一台windows2003的dns(例:ip為192.168.1.1),給公司內部使用。
dns設forwarder為168.95.1.1 hinet dns。
※※※※問題※※※※
公司電腦設192.168.1.1為dns時,內部網頁ok,外部網頁不行。
若設168.95.1.1就可以了。
第一個想法就是dns有問題,可是看了設定應該沒什麼太大的問題(windows dns裝了很多次了)。
※※※※找問題過程※※※※
在那一台dns用nslookup檢查:
解析yahoo網址
tw.yahoo.com
Server: dns.example.com
Address: 192.168.1.1
Name: com.org.tw
Address: 67.205.9.118
Aliases: tw.yahoo.com.org.tw(怎麼會自己加org.tw,還有解析的ip也不對)
nslookup -type=ns com.(後面有一個點喔)
得到的就是:
Non-authoritative answer:
com nameserver = l.gtld-servers.net
com nameserver = a.gtld-servers.net
com nameserver = m.gtld-servers.net.......常見的root server,正常。
nslookup -type=ns com(後面沒有一個點喔)
得到的卻是:
Non-authoritative answer:
com.org.tw nameserver = ns3.dreamhost.com
com.org.tw nameserver = ns1.dreamhost.com
com.org.tw nameserver = ns2.dreamhost.com
ns3.dreamhost.com internet address = 66.33.216.216
ns1.dreamhost.com internet address = 66.33.206.206
ns2.dreamhost.com internet address = 208.96.10.221(這應該有問題吧?)
在網路上也找了,也更新MS08-037 安全修補程式。
也參考了其它更改regedit,等等設定。
可是還是沒有用。
有大大知道這部分怎麼處理嗎?15點送上!
謝謝各位
(第一次來這裡,有不懂的地方再請各位多多指教)
已邀請的邦友 {{ invite_list.length }}/5
依照你現在敘述的情況,我有點懷疑的是,
你的DNS Server本身可以上網嗎???
這邊請你檢查該電腦網路卡的**「TCP/IP設定」-->「進階」-->「DNS頁籤」**,看看是否有加了附加尾碼的設定:
我這邊做了個小實驗,將我的電腦設定:
再照你的測試得到一樣的結果:
所以我想應該是這個問題吧
檢查看看不行再回應吧~
另外,想問一下kaiin323大大:
我這一台dns,在ip設定裡,dns是設自己,沒錯吧?
我等等再把圖貼上來。
在DNS Server上,DNS的確是要設自己沒錯。
不過你現在的問題,應該不在DNS Server是誰上面
應該就像我說的,
這台電腦會自行加上尾碼org.tw,
(這點可由DNS設成了168.95.1.1還是一樣得知),
但引起原因還需再釐清
所以當你查nslookup tw.yahoo.com會自動變成tw.yahoo.com.org.tw
查com會自動變成com.org.tw
而加上點的話,引述鳥哥的解釋:
"這個點 (.) 很重要!因為他代表一個完整主機名稱 (FQDN) 而不是僅有 hostname 而已。"
http://linux.vbird.org/linux_server/0350dns.php
所以你查com.就不會加上尾碼而就是查詢com
這邊稍微解釋一下
「nslookup tw.yahoo.com
Server: dns.example.com
Address: 192.168.1.1
===>這裡代表目前DNS Server的設定
Name: com.org.tw
Address: 67.205.9.118
Aliases: tw.yahoo.com.org.tw
===>這裡代表要解析的網址,
因為tw非一個網域,再往上org.tw也非一個網域,故再往上一層com.org.tw
這表示*.com.org.tw這個網域的DNS Server是67.205.9.118
」
謝謝大大的回覆:
可是我還有一個疑惑,
也就是,如果這樣的話,應該解析什麼樣的網址,應該都會加org.tw
可是在我的nslookup2的圖上,我有再測試解析www.google.com.tw
可是得到的卻是正確的ip,而沒有自動變成:www.google.com.tw.org.tw
所以,我也不知道要在那裡調整了= ="
大大所說的我都調整過了。
檢查一下DNS Server的advanced TCP/IP settings
是否加入了org.tw的設定。
如果是,取消相關設定再試試看。
http://www.windowsnetworking.com/articles_tutorials/Installing_DNS_Windows_2003.html
看了您附加的圖後, 發現一個疑問~
DNS Server 本身的 DNS 設定應該是自己, 怎麼會指到168.95.1.1呢?
DNS Server 只要在 DNS 管理工具裡設定好 forwarder DNS 至 168.95.1.1 就行了!!
試試看是不是這個原因吧~
謝謝大大的用心
一開始dns設定是指自己,可是一直出不去。
所以我就測試指到168.95.1.1,可是還是出不去,
我就直接抓圖了= ="
所以不管我設自己或設hinet dns,都出不去。
我的forwarder dns也設hinet dns也是出不去。
奇怪的事,只要網址不是.com,也就是後面還有其它的字樣,如(.com.tw, .tv, .idv)
這些都正常,只有.com就會出不去。
我也看了是不是尾碼有加.org.tw,可是檢查了都沒有。
我第一個念頭就是dns cache pollution, 也清楚cache,更新windowsupdate,
還是不行。
其實一開始我這一台dns是windows2000,就有這樣的問題了。想說是不是win2000的dns漏動比較多,所以重灌一台win2003。換上去後是正常,隔天就出現一樣的問題了。
看到最後, 又發現了一件事, 就是您有提到說, 重灌一台 Win2003後, 是正常的, 但過了一天後又出現問題。您要不要往中毒或是被惡意攻擊的方向去尋找問題呢?
必竟,正常的系統是可以使用的,代表設定沒有問題,但過一陣子後又出現問題,這點比較像是被惡意破壞或是中毒影響!!
嗯,可是這台server我也檢查過了,掃過病毒、惡意程式、等,應該是沒有中毒。
com.org.tw.看起來是一個正式的domain,上一層的dns是nsX.dreamhost.com,而且從whois看到的註冊資料頗奇怪:
<pre class="c" name="code">
Domain Name: com.org.tw
Registrant:
Autumn and Ozzie
Jordan Perr nobody@nowhere.com
+1.8548874444
+1.8548874444
nobody@nowhere.com
San Francisco, CA
US
Administrative Contact:
Who Knows nobody@nowhere.com
+1.8884563245
Technical Contact:
Domain Registrar domainregistrar@register.com
+1.9027492701
+1.9027492701
Record expires on 2009-03-25 (YYYY-MM-DD)
Record created on 2008-03-25 (YYYY-MM-DD)
Domain servers in listed order:
ns3.dreamhost.com
ns1.dreamhost.com
ns2.dreamhost.com
Registrar: Register.com
很詭異,而且很懷疑他怎麼註冊的。
如果都沒設定 org.tw 的附加 DNS 尾碼, 這狀況是有些怪異!
請檢查一下你公司 Firewall 的 traffic log,
當這台Windows 2003 DNS Server 在做公司外部 Domain IP 解析時, 都會把指向遠端 Server Port 53 的 UDP 封包丟向哪裡.
stoneck大大您好。
一、您的意思是看這台dns做公司外部domain ip是把udp53的封包都往那丟嗎?
一般是不是都往168.95.1.1 hinet dns丟嗎?
二、想了解一下,若一般正常來說的話,設定應該如何設?
只丟到168.95.1.1?不丟到其它ip嗎?
三、從traffic log來看,
這台dns出去的port都不一樣耶,也到一大堆不同的destination ip port 53。
而我們另一台dns出去的port都是1067port,也到了一大堆不同的destination ip pt 53
想問的是:正常的dns主機,出去只走一個port才正常嗎?
感謝大家的熱心回覆
正常來說,
Local 端只要是 [主動] 去連結其他任意節點, 正常 Local 都是隨機選擇數字較大的任意 Port,例如 35000~ 65000 之間的Port,
而遠端伺服器因為需要等待別人的需求做回應, 就必須有大家都知道的固定 Port,
這樣提出需求的Client 才知道要向遠端的伺服器如何提出需求, 例如 HTTP 的 TCP 80 Port,SMTP 的 TCP 25 Port, POP3 的 TCP 110 Port, DNS 的 UDP 53 Port...... 等等.
如果說系統正常沒有受到惡意程式干擾的話, 那你這台Server 照理來說對 Hinet IP 168.95.1.1 這個端點,就只會有你Server [Local Port 任意] 而對應到 Hinet [Remote Port UDP 53] 的 Log 產生.
因為假定你設的forwarder DNS [只有] 168.95.1.1, 那正常應該你 Server 只會把指向遠端 UDP 53 的封包都 [只會] 丟向 Hinet DNS 168.95.1.1 , 因為重點是你的 Server 根本不認識其他的 DNS Server ,
除非你又附加設定了其他的 DNS IP.
要是 log 顯示連線到遠端 UDP 53 Port,有出現一堆亂七八糟的 IP ,
那就要查一下是否有惡意程式隱藏在系統干擾正常的 DNS 解析動做.
如果 log 中根本找不到連線至 Hinet 168.95.1.1 UDP 53 Port 的記錄,
那很明顯根本就是你設定不對或是已經被偷偷轉向.
尤其是你說 [其實一開始我這一台dns是windows2000,就有這樣的問題了。想說是不是win2000的dns漏動比較多,所以重灌一台win2003。換上去後是正常,隔天就出現一樣的問題了。] 這樣應該是大有問題
我也贊同S大的說法, 你們的網路已經被轉向了.
to Stoneck大大,
我在我們防火牆看,是有看到一堆亂七八糟的ip耶,
可是我forwarder只設定hinet dns而已....。
偷偷轉向的問題,請問我可以從那一邊下手處理嗎?dns主機本身?還是有什麼方式可以處理?
感謝大大的回答,讓我有一點概念了。
So Sorry, 如果是中了惡意程式, 那你只能找程式掃毒, 沒法救你.
因為狀況千奇百怪... 呵呵呵
但是如果我是你, 在這一切都不明的狀況下,
我會再一次嘗試重新安裝一套乾淨的 windows 2003 系統,然後最先
安裝好防毒程式, 以及裝一個可以用於 Server 2003 版,同時可以設定Port I/O
的Personal Firewall, 把 Personal Firewall 由內向外的 Traffic 完全開放,
但是, 由外向內的 Traffic 就僅僅開放接受 Port UDP 53 的連入.
最後才是設定 DNS 記錄與連上網路.
這樣,讓這台 server 變成完全單純的 DNS Server , 同時可以阻擋任何對這台新
Server 偷偷不明的遠端安裝與 Port Scan.
如果你的 DNS 設定技巧是完全正確的,
那我猜這台 DNS Server 應該可以撐很多天都是功能正常的吧. 不會只有一天
就掛了.
後續, 就是檢查在同一個網段中, 是哪個 Client 在散佈惡意程式了.
想請教一下,您的IP取得方式為何?
是否為DHCP呢?
因為DHCP可以定義DNS的尾碼!!
如果您是DHCP給IP的,那DHCP SERVER是否為自架?
可以檢查這部份看看。
iThome鐵人賽
看影片追技術