Attualmente sto analizzando i log DNS da vari server Windows. Vedo molta risposta NXDOMAIN dal server DNS. Quando ho esaminato il campo della query, è qualcosa come "NHCNEBDBEBEEBFEDCDCDFDBDEDEDDDCA" (stringhe di lunghezza casuale e tutto maiuscolo). Dopo aver guardato in giro mi sono imbattuto in questo che spiega che è il Test anti-spoofing DNS. Voglio sapere se è completamente normale e viene eseguito da google chrome o c'è qualcosa di strano come l'attacco DOS in corso.
Modifica: i server Windows fungono anche da server DNS ed entrambi sono presenti dietro il firewall aziendale. Attualmente sto usando Splunk Enterprise Security come strumento SIEM. Splunk sta sollevando l'evento notevole " Eccessivi errori DNS "