Призрачный сервер

…Однажды на рабочих станциях внезапно пропал доступ к сетевым папкам на сервере, наблюдался очень долгий вход в систему. Словно потеряна связь с доменом. Что такое? Сервер в порядке, пинг на сервер по его ip-адресу идёт… но зато при пинге имени SRV я вижу вместо нормального 192.168.1.2 адрес, принадлежащий совершенно чужеродной сетке 10.10.10.100! Вот клиенты в никуда и ходят по именам. Что за чудеса?

Заглянул повнимательнее в консоль управления DNS. И тут мне явился настоящий призрак! Среди DNS-записей я увидел странную запись, сопоставляющую имя SRV с неизвестным науке ip-адресом. SRV<==>10.10.10.100 помимо того, что есть нормальная запись SRV<==>192.168.1.2. Удаляю патологическую запись — но нет, она воскресает, как волшебная птица Феникс. Даже DNS-роль переустановил заново — и всё равно, стоило открыть консоль DNS, а там, как поётся в одной известной песне, «четыре неразлучных таракана и сверчок». Или… настоящая фата-моргана, заманивающая путников в пустыне дивными садами и дворцами, дойдя до которых несчастные видят только раскаленный песок. Клиенты соблазняются на эту DNS-запись, и проходят мимо реального сервера 192.168.1.2, не видят AD, не могут нормально залогиниться и получить доступ в расшаренные папки.

Что за ip странный? Уж не взломали ли нас и не подцепились ли к нам? Уж не DNS-ли спуфинг я вижу? Когда хакеры взломали нас, и все запросы клиентских машин теперь идут на их сервер?

Пингую «призрак» 10.10.10.100 с рабочих станций и с сервера. С рабочих станций тишина, а с сервера пингуется. Интересно как… подключаюсь по RDP на этот адрес. Интересно, куда я сейчас попаду, подумал я… и попал поди ж ты, на свой же собственный сервер!

Это ещё почище всяких хакеров будет! Так… а что за адрес 10.10.10.100 на моём сервере гнездится?

Ба!!!! Да это же всего лишь безобидная RAS PPTP VPN Network Virtual адаптер! Просто наш DNS-сервер занимался прослушкой любых диапазонов адресов, вот «непойми что», «не мышонок, не лягушка, а неведома зверюшка» и зарегистрировалась в DNS и увела клиентов далеко не на путь истинный. Вернее, это сам сервер зарегистрировал сам себя же в DNS ещё раз, но только с адресом, который предназначен для подключения PPTP VPN клиентов.

Практические выводы и совет:
чтобы этого не случалось, необходимо чётко задавать диапазоны IP-адресов для прослушивания в свойствах DNS-сервера. Не всё что угодно, а строго диапазон локальной сети, чтобы слушал лишь с той сетевой карты, которая смотрит в локалку.

Автор: admin

Кандидат химических наук, работающий системным администратором :)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*