https://www.opennet.ru/openforum/vsluhforumID10/4632.html Здравствуйте.<br><br>Ситуация такая: на шлюзе стоит кэширующий DNS-сервер (9.3.4). В syslog попадает много сообщений вида:<br><br>ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 195.14.50.1#53<br>ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 85.21.192.3#53<br>ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 213.234.192.8#53<br>ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.97.100#53<br>ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.96.200#53<br><br>DNS-сервер обслуживает внутреннюю локальную сеть.<br>Я так понимаю, это сетевые черви-троянцы пытаются найти почтовые релеи?<br>Как определить, от каких компьютеров приходят запросы?<br> https://www.opennet.ru/openforum/vsluhforumID10/4632.html#2 Fri, 23 Jul 2010 16:50:04 GMT wireshark<br> https://www.opennet.ru/openforum/vsluhforumID10/4632.html#1 Tue, 06 Jul 2010 07:49:56 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 195.14.50.1#53 <br>&gt;ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 85.21.192.3#53 <br>&gt;ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 213.234.192.8#53 <br>&gt;ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.97.100#53 <br>&gt;ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.96.200#53 <br>&gt;<br>&gt;DNS-сервер обслуживает внутреннюю локальную сеть. <br>&gt;Я так понимаю, это сетевые черви-троянцы пытаются найти почтовые релеи? <br>&gt;Как определить, от каких компьютеров приходят запросы? <br><br>Навскидку вижу 2 способа:<br>1) включить логирование запросов в BIND<br>2) включить tcpdump на слушание порта 53 UDP<br>