Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2682 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Reporting DNS esolution & Rcode Refused

scottj_01
All-

I have been noticing a large number of rcode refused in the DNS log from China which is blocked via country blocking. It is understood rcode refused is a remote DNS issue. My discussion references another point. Clicking network protection displays a flash based report documenting the most recent source/host packets. Having some time to to research today I noticed that the reporting function is attempting to resolve the IP addresses of the source/host packets to a DNS name. The resultant being a high number rcode refusals from Chinese addresses. China typically is the number one source of daily shopping for open ports. Today one Chinese IP is currently at 98 times. (210.72.13.68) Short of turning off the reporting feature is there any known way of preventing DNS resolution for the IP's noted in source/host packets? Can Geo location be substituted in place of DNS resolution? 


Thanks,
Jim


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    Barry,

    I gave that some thought, time did not allow for testing. While I believe it could be a factor I am not sure it contains the whole answer. My reasonning is that since turning off reporting there have been no rcode refused entries in the DNS log from anywhere. It has been off for 36 hours. I would normally see rcode refused entries from a 173.xx.xx.xx IP while reporting was on. ARIN showed the owner as Google but no other records could be found. However most were from China. The next question is does reporting change in the way DNS is handled? Or more accurately does reporting have it's own config file defining how it handles DNS?

    Thanks,
    Jim