一个DNS故障引发的血案(DNS本地劫持病毒)
2008年12月30日
故障现象:
一台单机(PC1)通过RouterOS做的软路由接入互联网,RouterOS上启用DNS服务转发,并定义了几个本地静态DNS解析,但某日突然发现PC1对这几个静态DNS的解析均出现了错误和故障,而其他机器PCn则工作正常,检查RouterOS配置正常,PC1上的IPConfig检查正常。
分析:
使用Wireshark在PC1上抓取所有dns包分析发现,PC1把DNS解析请求发送到一个没见过的地址(85.255.114.83),这个地址我从来没有配置和使用过。
怀疑病毒或者某种DNS劫持… 尝试病毒木马检测..搜索类似情况..无果
进一步分析DNS….
nslookup –d [其他的参数] 目标域名 [指定的服务器地址]
RouterOS对nslookup好像不能正常支持,虽然ping可以解析,但是nslookup有时返回
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
原因未知…放弃nslookup
继续搜索查找分析…
最近评论