Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2680 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Reporting DNS esolution & Rcode Refused

scottj_01
All-

I have been noticing a large number of rcode refused in the DNS log from China which is blocked via country blocking. It is understood rcode refused is a remote DNS issue. My discussion references another point. Clicking network protection displays a flash based report documenting the most recent source/host packets. Having some time to to research today I noticed that the reporting function is attempting to resolve the IP addresses of the source/host packets to a DNS name. The resultant being a high number rcode refusals from Chinese addresses. China typically is the number one source of daily shopping for open ports. Today one Chinese IP is currently at 98 times. (210.72.13.68) Short of turning off the reporting feature is there any known way of preventing DNS resolution for the IP's noted in source/host packets? Can Geo location be substituted in place of DNS resolution? 


Thanks,
Jim


This thread was automatically locked due to age.
  • 0
    I wonder if the country-blocking is blocking the DNS lookups for the reporting, or the DNS servers in China are refusing to answer.

    Barry
  • 0 in reply to BarryG
    Barry,

    I gave that some thought, time did not allow for testing. While I believe it could be a factor I am not sure it contains the whole answer. My reasonning is that since turning off reporting there have been no rcode refused entries in the DNS log from anywhere. It has been off for 36 hours. I would normally see rcode refused entries from a 173.xx.xx.xx IP while reporting was on. ARIN showed the owner as Google but no other records could be found. However most were from China. The next question is does reporting change in the way DNS is handled? Or more accurately does reporting have it's own config file defining how it handles DNS?

    Thanks,
    Jim
  • 0
    I think the reporting is doing DNS lookups to see where the blocked traffic was coming from.

    Perhaps these lookups are the source of the error messages, either because country-blocking is preventing the lookups, or something in China is blocking the lookups.

    Either way, you're right that it would be nice if there was an option to disable DNS lookups in reporting.
    Perhaps you could post that as a Feature Request.

    Barry
  • 0
    That's what I thought when I first looked at this thread, Barry.  It's more an incomplete-design bug if reporting was designed to do rDNS on IPs blocked by country blocking.  It's a bit of a face-palm moment, don't you think? [:D]

    Cheers - Bob
  • 0
    Yes, it is a bit of a face-palm.

    If the Country Blocking responds as REJECT (and not DROP), then at least it would be quick and not slow things down, but if it DROPs, then the DNS resolver is going to wait, making reporting take much longer than it should...

    Face-palm or not, many people do not consider it wise to be doing RDNS on attackers, so it should still be an option to completely disable RDNS for reporting (and for IPS alert emails too).

    Barry
  • 0 in reply to BarryG
    Barry, Bob,

    I am not sold that the country blocking is the actual cause. Appparently it is both the firewall and country blocking. When reporting is on, there is an appearence of attempts to resolve DNS from blocked and non-blocked conutries. So by all observations:

    Reporting on = rcode refused inclusive of both blocked and non-blocked countries logged. The common element is the firewall is blocking the attack. Over an 8 hour time frame the log grows fast with the same entries repeatedly.
    Reporting off = no rcode refused entries logged. The only logged entries in the DNS log was client decreassed to XX, normal operation. Firewall log showing default drop of attack.

    Clearly reporting or a subcomponent must be attempting to resolve blocked IP addresses. As a side thought, all blocked sites reported would be sites attempting to connect from outside getting a default drop by the firewall. Example with reporting on, 173.xx.xx.xx(Google.com) unsolicited inbound to the ASG. Firewall blocks access and logs entry. Reporting displays USA flag with IP address, and attempts to resolve address. DNS log shows Rcode Refused for the next several hours repetitively logging......
    Or Outbound to verizon.net(108.57.xx.xx) for VOD. VOD come up fine on set top box. Firewall has necessary ports open. Reporting shows USA flag with 108.57.xx.xx IP and attempts to resolve DNS. DNS log rcode refused......

    Inbound with reporting off none of the above behavor is exhibited inbound. I will try VOD tonight time permitting with reporting off and report the results. 

    Thanks,
    Jim
  • 0
    OK, so it may not be the country-blocking that is causing the problem.

    What DNS resolvers are set in the firewall?

    Barry
  • 0 in reply to BarryG
    Barry,

    The current resolvers are level 3 communications, 209.244.0.3, and  209.244.0.4. I have tried DynDNS, OpenDNS and ISP's DNS servers. The same issue is there regardless. I finished in the OR early so I had time to test Verizon VOD. With reporting off there are no rcode refused entries in the DNS log. Only a few of the following:
    2012:09:06-01:17:21 OASIS named[4117]: clients-per-query decreased to 10

    Clients-per-query decreased is normal operation. Clearly there is some change associated with enabling reporting creating the rcode refused issue. The only thing I can think of is an attack is refused by the firewall. This action generates an entry in the firewall log associated with a rule number. With reporting on, an entry including the country flag is created followed by the IP address. In some cases the IP has a DNS name with it. Example 1.2.3.4-pool.phila.fios.verizon.net. There was one from China with a pool DNS name on Saturday. The reporting has been off now for 72 hours. There have been zero rcode refused entries since then. Odds are reporting is trying to resolve the IP address. If so then how do how do we fix it?

    Thanks,
    Jim
  • 0
    It'd probably need to be posted as a feature request, to disable DNS lookups for reporting.

    Barry