Code: Alles auswählen
2021-12-16 13:59:16 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-12-12 19:00:08 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-12-12 12:32:58 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-12-08 19:09:47 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-12-08 11:10:47 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-12-04 12:04:49 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-28 11:08:27 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-26 19:46:16 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-26 17:37:58 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-26 15:57:16 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-23 13:14:07 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-23 10:52:48 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-18 20:49:59 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-16 17:40:44 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-16 15:16:02 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-14 11:15:57 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-12 15:00:01 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-08 17:03:28 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-11-06 15:12:07 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-10-31 21:55:18 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-10-16 22:39:00 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-10-16 21:46:23 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-10-16 20:32:48 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-10-16 16:46:30 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-10-16 12:07:17 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-10-14 13:35:01 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-10-13 00:07:10 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-10-12 19:42:52 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-10-07 14:04:15 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-09-28 16:23:16 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-09-27 16:42:52 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-09-12 11:40:21 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-09-11 13:09:31 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-09-11 11:02:02 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)
2021-09-10 23:47:01 LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered)Warum?
Und um welches Subnet/Gerät handelt es sich?
Ich kann das gar nicht nachvollziehen um was es sich da handelt.
Vorab folgende Konfiguration:
Die Lancom-Router sind in Reihe geschaltet und benutzen je einen vorgeschalteten Lancom-Router als Gateway/DHCP-, DNS- und NTP-Server
Hinterstes Gateway vor dem Internet:
883VOIP - LC-883-VoIP-10.50.0434-RU3
Er bezieht seine externe IP-Adresse, DNS- und NTP-Server vom übergeordneten Lancom-Router/Gateway, verteilt aber im eigenen Subnetz seine eigenen internen IP-Adressen via DHCP.
Er ist das Gatewy, der DNS- sowie Zeit-Server für sein internes Subnetz.
Dort tauch die Meldung nicht auf!
Vorgeschaltet ist ein
R800A - R800A-10.50.0331-RU2
Dieser bezieht seine externe IP-Adresse, DNS- und NTP-Server ebenfalls vom übergeordneten Lancom-Router/Gateway, verteilt auch im eigenen Subnetz seine eigenen internen IP-Adressen via DHCP.
Er ist ebenfalls das Gateway, der DNS- sowie Zeit-Server für sein internes Subnetz.
Auch hier taucht die Meldung nicht auf.
Dem hinteren R800A in Richtung Internet ist ein weiterer, zweiter R800A vorgeschaltet, auch hier:
R800A - R800A-10.50.0331-RU2
Dieser bezieht ebenfalls seine externe IP-Adresse, DNS- und NTP-Server von seinem übergeordneten Lancom-Router/Gateway, verteilt auch wiederum im eigenen Subnetz seine eigenen internen IP-Adressen via DHCP.
Er ist ebenfalls das Gateway, der DNS- sowie Zeit-Server für sein internes Subnetz.
Und hier taucht die Meldung auf:
Code: Alles auswählen
LOCAL3 Alarm detected possible DNS tunnel, originating by host xxx.xxx.xxx.xxx (filtered) Auf dem zweiten R800A laufen keine weiteren Geräte, der schleust nur durch.
Kann ich den Verursacher für diese Meldung herausfinden?
Wenn ja, wie?
Danke schon einmal für die Hilfe!