iT邦幫忙

0

用nslookup解析網址,怎麼都多加org.tw

請大家幫忙一下,因為我在網路上趴文都沒找到解決方法。
※※※※事由※※※※
公司架一台windows2003的dns(例:ip為192.168.1.1),給公司內部使用。
dns設forwarder為168.95.1.1 hinet dns。

※※※※問題※※※※
公司電腦設192.168.1.1為dns時,內部網頁ok,外部網頁不行。
若設168.95.1.1就可以了。
第一個想法就是dns有問題,可是看了設定應該沒什麼太大的問題(windows dns裝了很多次了)。

※※※※找問題過程※※※※
在那一台dns用nslookup檢查:
解析yahoo網址

tw.yahoo.com
Server: dns.example.com
Address: 192.168.1.1

Name: com.org.tw
Address: 67.205.9.118
Aliases: tw.yahoo.com.org.tw(怎麼會自己加org.tw,還有解析的ip也不對)

nslookup -type=ns com.(後面有一個點喔)
得到的就是:
Non-authoritative answer:
com nameserver = l.gtld-servers.net
com nameserver = a.gtld-servers.net
com nameserver = m.gtld-servers.net.......常見的root server,正常。

nslookup -type=ns com(後面沒有一個點喔)
得到的卻是:
Non-authoritative answer:
com.org.tw nameserver = ns3.dreamhost.com
com.org.tw nameserver = ns1.dreamhost.com
com.org.tw nameserver = ns2.dreamhost.com

ns3.dreamhost.com internet address = 66.33.216.216
ns1.dreamhost.com internet address = 66.33.206.206
ns2.dreamhost.com internet address = 208.96.10.221(這應該有問題吧?)

在網路上也找了,也更新MS08-037 安全修補程式。
也參考了其它更改regedit,等等設定。
可是還是沒有用。

有大大知道這部分怎麼處理嗎?15點送上!
謝謝各位

(第一次來這裡,有不懂的地方再請各位多多指教)

26
kaiin323
iT邦高手 1 級 ‧ 2008-09-05 15:39:56
最佳解答

依照你現在敘述的情況,我有點懷疑的是,
你的DNS Server本身可以上網嗎???

這邊請你檢查該電腦網路卡的**「TCP/IP設定」-->「進階」-->「DNS頁籤」**,看看是否有加了附加尾碼的設定:

我這邊做了個小實驗,將我的電腦設定:

再照你的測試得到一樣的結果:

所以我想應該是這個問題吧
檢查看看不行再回應吧~

看更多先前的回應...收起先前的回應...

謝謝你們的回覆,可是我看了都沒有設定org.tw耶。
像kaiin323大大的第一張圖,就是選第一個選項。

另外,想問一下kaiin323大大:
我這一台dns,在ip設定裡,dns是設自己,沒錯吧?
我等等再把圖貼上來。

kaiin323 iT邦高手 1 級 ‧ 2008-09-06 00:05:40 檢舉

在DNS Server上,DNS的確是要設自己沒錯。

不過你現在的問題,應該不在DNS Server是誰上面
應該就像我說的,
這台電腦會自行加上尾碼org.tw,
(這點可由DNS設成了168.95.1.1還是一樣得知),
但引起原因還需再釐清

所以當你查nslookup tw.yahoo.com會自動變成tw.yahoo.com.org.tw
查com會自動變成com.org.tw
而加上點的話,引述鳥哥的解釋:
"這個點 (.) 很重要!因為他代表一個完整主機名稱 (FQDN) 而不是僅有 hostname 而已。"
http://linux.vbird.org/linux\_server/0350dns.php
所以你查com.就不會加上尾碼而就是查詢com

這邊稍微解釋一下
「nslookup tw.yahoo.com
Server: dns.example.com
Address: 192.168.1.1
===>這裡代表目前DNS Server的設定

Name: com.org.tw
Address: 67.205.9.118
Aliases: tw.yahoo.com.org.tw
===>這裡代表要解析的網址,
因為tw非一個網域,再往上org.tw也非一個網域,故再往上一層com.org.tw
這表示*.com.org.tw這個網域的DNS Server是67.205.9.118

謝謝大大的回覆:
可是我還有一個疑惑,
也就是,如果這樣的話,應該解析什麼樣的網址,應該都會加org.tw
可是在我的nslookup2的圖上,我有再測試解析www.google.com.tw
可是得到的卻是正確的ip,而沒有自動變成:www.google.com.tw.org.tw
所以,我也不知道要在那裡調整了= ="
大大所說的我都調整過了。

22
fishk
iT邦大師 1 級 ‧ 2008-09-05 12:29:28

檢查一下DNS Server的advanced TCP/IP settings
是否加入了org.tw的設定。
如果是,取消相關設定再試試看。

http://www.windowsnetworking.com/articles\_tutorials/Installing\_DNS\_Windows\_2003.html

謝謝你們的回覆,可是我看了都沒有設定org.tw耶。
都是像kaiin323大大的第一張圖,就是選第一個選項。

fishk iT邦大師 1 級 ‧ 2008-09-09 11:24:22 檢舉

看了樓下幾位大大的討論記錄, 的確有可能是 [網路已經被轉向了], 你們的網路架構中是否有proxy或其它中繼的裝置(如:UTM ...等).

我也是認為「被轉向了」,可是怎麼修改回來,就一直找不到方法...
我們網路架構沒有proxy或其它中繼的裝置。出口一台防火牆。

18
sailsolitary
iT邦研究生 2 級 ‧ 2008-09-05 17:29:25

看了您附加的圖後, 發現一個疑問~

DNS Server 本身的 DNS 設定應該是自己, 怎麼會指到168.95.1.1呢?

DNS Server 只要在 DNS 管理工具裡設定好 forwarder DNS 至 168.95.1.1 就行了!!

試試看是不是這個原因吧~

謝謝大大的用心

一開始dns設定是指自己,可是一直出不去。
所以我就測試指到168.95.1.1,可是還是出不去,
我就直接抓圖了= ="
所以不管我設自己或設hinet dns,都出不去。
我的forwarder dns也設hinet dns也是出不去。

奇怪的事,只要網址不是.com,也就是後面還有其它的字樣,如(.com.tw, .tv, .idv)
這些都正常,只有.com就會出不去。

我也看了是不是尾碼有加.org.tw,可是檢查了都沒有。
我第一個念頭就是dns cache pollution, 也清楚cache,更新windowsupdate,
還是不行。

其實一開始我這一台dns是windows2000,就有這樣的問題了。想說是不是win2000的dns漏動比較多,所以重灌一台win2003。換上去後是正常,隔天就出現一樣的問題了。

sailsolitary iT邦研究生 2 級 ‧ 2008-09-08 17:55:57 檢舉

看到最後, 又發現了一件事, 就是您有提到說, 重灌一台 Win2003後, 是正常的, 但過了一天後又出現問題。您要不要往中毒或是被惡意攻擊的方向去尋找問題呢?
必竟,正常的系統是可以使用的,代表設定沒有問題,但過一陣子後又出現問題,這點比較像是被惡意破壞或是中毒影響!!

嗯,可是這台server我也檢查過了,掃過病毒、惡意程式、等,應該是沒有中毒。

14
fillano
iT邦超人 1 級 ‧ 2008-09-07 16:45:22

com.org.tw.看起來是一個正式的domain,上一層的dns是nsX.dreamhost.com,而且從whois看到的註冊資料頗奇怪:

<pre class="c" name="code">
Domain Name: com.org.tw
   Registrant:
      Autumn and Ozzie
      Jordan Perr  nobody@nowhere.com
      +1.8548874444
      +1.8548874444
      nobody@nowhere.com  
      San Francisco, CA
      US

   Administrative Contact:
      Who Knows  nobody@nowhere.com
      +1.8884563245
      

   Technical Contact:
      Domain Registrar  domainregistrar@register.com
      +1.9027492701
      +1.9027492701

   Record expires on 2009-03-25 (YYYY-MM-DD)
   Record created on 2008-03-25 (YYYY-MM-DD)

   Domain servers in listed order:
      ns3.dreamhost.com      
      ns1.dreamhost.com      
      ns2.dreamhost.com      

Registrar: Register.com

很詭異,而且很懷疑他怎麼註冊的。

這也是我感到奇怪的部分。
在網路上也找了dreamhost這家公司的資料。
他是一家提供webhosting的美國公司,之前他們的dns就有一些問題了。
只是不知道是不是有處理好了。

我不知道你們之前是不是有遇過myfamily的dns cache pollution情況?
情況跟現在有點類似,只是myfamily是直接出現在dns root server記錄上。

以上若有大大知道怎麼處理,再提供一下處理方法。
我趴文趴到趴下去了 = ="
謝謝

12
stoneck
iT邦新手 2 級 ‧ 2008-09-08 09:58:44

如果都沒設定 org.tw 的附加 DNS 尾碼, 這狀況是有些怪異!
請檢查一下你公司 Firewall 的 traffic log,
當這台Windows 2003 DNS Server 在做公司外部 Domain IP 解析時, 都會把指向遠端 Server Port 53 的 UDP 封包丟向哪裡.

看更多先前的回應...收起先前的回應...

stoneck大大您好。
一、您的意思是看這台dns做公司外部domain ip是把udp53的封包都往那丟嗎?
一般是不是都往168.95.1.1 hinet dns丟嗎?
二、想了解一下,若一般正常來說的話,設定應該如何設?
只丟到168.95.1.1?不丟到其它ip嗎?
三、從traffic log來看,
這台dns出去的port都不一樣耶,也到一大堆不同的destination ip port 53。
而我們另一台dns出去的port都是1067port,也到了一大堆不同的destination ip pt 53
想問的是:正常的dns主機,出去只走一個port才正常嗎?

感謝大家的熱心回覆

stoneck iT邦新手 2 級 ‧ 2008-09-09 09:40:18 檢舉

正常來說,
Local 端只要是 [主動] 去連結其他任意節點, 正常 Local 都是隨機選擇數字較大的任意 Port,例如 35000~ 65000 之間的Port,

而遠端伺服器因為需要等待別人的需求做回應, 就必須有大家都知道的固定 Port,
這樣提出需求的Client 才知道要向遠端的伺服器如何提出需求, 例如 HTTP 的 TCP 80 Port,SMTP 的 TCP 25 Port, POP3 的 TCP 110 Port, DNS 的 UDP 53 Port...... 等等.

如果說系統正常沒有受到惡意程式干擾的話, 那你這台Server 照理來說對 Hinet IP 168.95.1.1 這個端點,就只會有你Server [Local Port 任意] 而對應到 Hinet [Remote Port UDP 53] 的 Log 產生.

因為假定你設的forwarder DNS [只有] 168.95.1.1, 那正常應該你 Server 只會把指向遠端 UDP 53 的封包都 [只會] 丟向 Hinet DNS 168.95.1.1 , 因為重點是你的 Server 根本不認識其他的 DNS Server ,
除非你又附加設定了其他的 DNS IP.

要是 log 顯示連線到遠端 UDP 53 Port,有出現一堆亂七八糟的 IP ,
那就要查一下是否有惡意程式隱藏在系統干擾正常的 DNS 解析動做.

如果 log 中根本找不到連線至 Hinet 168.95.1.1 UDP 53 Port 的記錄,
那很明顯根本就是你設定不對或是已經被偷偷轉向.
尤其是你說 [其實一開始我這一台dns是windows2000,就有這樣的問題了。想說是不是win2000的dns漏動比較多,所以重灌一台win2003。換上去後是正常,隔天就出現一樣的問題了。] 這樣應該是大有問題

yuarchie iT邦新手 2 級 ‧ 2008-09-09 10:22:19 檢舉

我也贊同S大的說法, 你們的網路已經被轉向了.

to Stoneck大大,
我在我們防火牆看,是有看到一堆亂七八糟的ip耶,
可是我forwarder只設定hinet dns而已....。
偷偷轉向的問題,請問我可以從那一邊下手處理嗎?dns主機本身?還是有什麼方式可以處理?

感謝大大的回答,讓我有一點概念了。

stoneck iT邦新手 2 級 ‧ 2008-09-09 17:28:45 檢舉

So Sorry, 如果是中了惡意程式, 那你只能找程式掃毒, 沒法救你.
因為狀況千奇百怪... 呵呵呵

但是如果我是你, 在這一切都不明的狀況下,
我會再一次嘗試重新安裝一套乾淨的 windows 2003 系統,然後最先
安裝好防毒程式, 以及裝一個可以用於 Server 2003 版,同時可以設定Port I/O
的Personal Firewall, 把 Personal Firewall 由內向外的 Traffic 完全開放,
但是, 由外向內的 Traffic 就僅僅開放接受 Port UDP 53 的連入.
最後才是設定 DNS 記錄與連上網路.

這樣,讓這台 server 變成完全單純的 DNS Server , 同時可以阻擋任何對這台新
Server 偷偷不明的遠端安裝與 Port Scan.
如果你的 DNS 設定技巧是完全正確的,
那我猜這台 DNS Server 應該可以撐很多天都是功能正常的吧. 不會只有一天
就掛了.

後續, 就是檢查在同一個網段中, 是哪個 Client 在散佈惡意程式了.

4
rickhsu
iT邦高手 6 級 ‧ 2008-09-09 09:45:08

想請教一下,您的IP取得方式為何?

是否為DHCP呢?

因為DHCP可以定義DNS的尾碼!!

如果您是DHCP給IP的,那DHCP SERVER是否為自架?

可以檢查這部份看看。

大大您好:
我們公司沒有用dhcp,都是手動設定ip的。

我要發表回答

立即登入回答