Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2682 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Reporting DNS esolution & Rcode Refused

scottj_01
All-

I have been noticing a large number of rcode refused in the DNS log from China which is blocked via country blocking. It is understood rcode refused is a remote DNS issue. My discussion references another point. Clicking network protection displays a flash based report documenting the most recent source/host packets. Having some time to to research today I noticed that the reporting function is attempting to resolve the IP addresses of the source/host packets to a DNS name. The resultant being a high number rcode refusals from Chinese addresses. China typically is the number one source of daily shopping for open ports. Today one Chinese IP is currently at 98 times. (210.72.13.68) Short of turning off the reporting feature is there any known way of preventing DNS resolution for the IP's noted in source/host packets? Can Geo location be substituted in place of DNS resolution? 


Thanks,
Jim


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    Barry,

    The current resolvers are level 3 communications, 209.244.0.3, and  209.244.0.4. I have tried DynDNS, OpenDNS and ISP's DNS servers. The same issue is there regardless. I finished in the OR early so I had time to test Verizon VOD. With reporting off there are no rcode refused entries in the DNS log. Only a few of the following:
    2012:09:06-01:17:21 OASIS named[4117]: clients-per-query decreased to 10

    Clients-per-query decreased is normal operation. Clearly there is some change associated with enabling reporting creating the rcode refused issue. The only thing I can think of is an attack is refused by the firewall. This action generates an entry in the firewall log associated with a rule number. With reporting on, an entry including the country flag is created followed by the IP address. In some cases the IP has a DNS name with it. Example 1.2.3.4-pool.phila.fios.verizon.net. There was one from China with a pool DNS name on Saturday. The reporting has been off now for 72 hours. There have been zero rcode refused entries since then. Odds are reporting is trying to resolve the IP address. If so then how do how do we fix it?

    Thanks,
    Jim