Estaba viendo mis registros de firewall y encontré la IP 8.8.8.8. Verificación adicional revela que pertenece a Google DNS. Y este tipo de tráfico ha estado saliendo de algunas de nuestras PC de segmento LAN. De aquí en adelante, ¿cómo debo determinar si se trata de tráfico legal? Todavía no tengo ningún producto SIEM instalado. Lo mejor que se puede hacer es ir físicamente a cada PC y verificar? Por otro lado, ¿el uso de alguna versión de un navegador web causaría esto?
Lo más probable es que otro administrador o algunos de sus usuarios hayan configurado sus computadoras para usar el servicio DNS de Google (ubicado en las direcciones IP 8.8.8.8 y 8.8.4.4). Probablemente no sea nada de qué preocuparse. Si su firewall tiene capacidades de captura de paquetes, puede intentar ejecutar una captura y luego abrir el archivo de captura en Wireshark para inspeccionar el tráfico y asegurarse de que realmente es DNS y que las consultas no son para dominios de malware. Si ninguno de sus firewalls / enrutadores puede realizar capturas de paquetes, puede ser más fácil ir físicamente a las computadoras y mirar la configuración del DNS o preguntar a los usuarios si los han cambiado.
Puede elegir el proveedor de DNS que desee en su computadora si se le otorgan derechos administrativos.
El único propósito de la solicitud de DNS es obtener la IP de un nombre de dominio completo (FQDN), es decir, traducir www.google.fr a alguna dirección IP.
Si administra una red de máquinas, es posible que desee: