Stavo visualizzando i miei log del firewall e ho trovato l'IP 8.8.8.8. Un ulteriore controllo rivela che appartiene a Google DNS. E tale traffico è uscito da alcuni dei nostri PC di segmento LAN. Da qui in poi, come dovrei determinare se si tratta di traffico legale? Non ho ancora installato alcun prodotto SIEM. La prossima cosa migliore è andare fisicamente su ciascun PC e controllare? D'altra parte, l'utilizzo di una versione di un browser Web potrebbe causare questo?
Molto probabilmente un altro amministratore o alcuni dei tuoi utenti hanno impostato i loro computer per utilizzare il servizio DNS di Google (che si trova agli indirizzi IP 8.8.8.8 e 8.8.4.4). Probabilmente non è nulla di cui preoccuparsi. Se il firewall dispone di funzionalità di acquisizione di pacchetti, è possibile provare a eseguire un'acquisizione e quindi aprire il file di acquisizione in Wireshark per ispezionare il traffico e assicurarsi che sia effettivamente DNS e che le query non riguardino domini di malware. Se nessuno dei tuoi firewall / router è in grado di catturare pacchetti, potrebbe essere più facile andare fisicamente sui computer e osservare le impostazioni DNS o chiedere ai tuoi utenti se li hanno cambiati.
Puoi scegliere il provider DNS che desideri sul tuo computer se hai diritti amministrativi su di esso.
L'unico scopo della richiesta DNS è di ottenere l'IP di un nome di dominio completo (FQDN), vale a dire tradurre www.google.fr in qualche indirizzo IP.
Se gestisci una rete di computer, puoi: