Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2682 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Reporting DNS esolution & Rcode Refused

scottj_01
All-

I have been noticing a large number of rcode refused in the DNS log from China which is blocked via country blocking. It is understood rcode refused is a remote DNS issue. My discussion references another point. Clicking network protection displays a flash based report documenting the most recent source/host packets. Having some time to to research today I noticed that the reporting function is attempting to resolve the IP addresses of the source/host packets to a DNS name. The resultant being a high number rcode refusals from Chinese addresses. China typically is the number one source of daily shopping for open ports. Today one Chinese IP is currently at 98 times. (210.72.13.68) Short of turning off the reporting feature is there any known way of preventing DNS resolution for the IP's noted in source/host packets? Can Geo location be substituted in place of DNS resolution? 


Thanks,
Jim


This thread was automatically locked due to age.
Parents
  • 0
    Yes, it is a bit of a face-palm.

    If the Country Blocking responds as REJECT (and not DROP), then at least it would be quick and not slow things down, but if it DROPs, then the DNS resolver is going to wait, making reporting take much longer than it should...

    Face-palm or not, many people do not consider it wise to be doing RDNS on attackers, so it should still be an option to completely disable RDNS for reporting (and for IPS alert emails too).

    Barry
Reply
  • 0
    Yes, it is a bit of a face-palm.

    If the Country Blocking responds as REJECT (and not DROP), then at least it would be quick and not slow things down, but if it DROPs, then the DNS resolver is going to wait, making reporting take much longer than it should...

    Face-palm or not, many people do not consider it wise to be doing RDNS on attackers, so it should still be an option to completely disable RDNS for reporting (and for IPS alert emails too).

    Barry
Children
  • 0 in reply to BarryG
    Barry, Bob,

    I am not sold that the country blocking is the actual cause. Appparently it is both the firewall and country blocking. When reporting is on, there is an appearence of attempts to resolve DNS from blocked and non-blocked conutries. So by all observations:

    Reporting on = rcode refused inclusive of both blocked and non-blocked countries logged. The common element is the firewall is blocking the attack. Over an 8 hour time frame the log grows fast with the same entries repeatedly.
    Reporting off = no rcode refused entries logged. The only logged entries in the DNS log was client decreassed to XX, normal operation. Firewall log showing default drop of attack.

    Clearly reporting or a subcomponent must be attempting to resolve blocked IP addresses. As a side thought, all blocked sites reported would be sites attempting to connect from outside getting a default drop by the firewall. Example with reporting on, 173.xx.xx.xx(Google.com) unsolicited inbound to the ASG. Firewall blocks access and logs entry. Reporting displays USA flag with IP address, and attempts to resolve address. DNS log shows Rcode Refused for the next several hours repetitively logging......
    Or Outbound to verizon.net(108.57.xx.xx) for VOD. VOD come up fine on set top box. Firewall has necessary ports open. Reporting shows USA flag with 108.57.xx.xx IP and attempts to resolve DNS. DNS log rcode refused......

    Inbound with reporting off none of the above behavor is exhibited inbound. I will try VOD tonight time permitting with reporting off and report the results. 

    Thanks,
    Jim