DNS1.NAME-SERVICES.COM 관련질문~~

안녕하세요

어렵싸리 여기에 나오는 강좌를 열심히 참고하여 무사히 DNS 구축을 완료했습니다.

나름대로 열심히 보안적인 측면도 신경을 썼는데 이해가 가지 않는 부분이 있습니다.

질의:

사내의 IPS 장비에서 지속적으로 backdoor_lineage_connect 라는 사건명으로 DNS 서버를차단

시킵니다. 물론 가끔씩 일어나기때문에 사용상의 큰문제는 없습니다.

단지 사건명이 조금은 관리자로써 신경이 쓰입니다.

그래서 혹시 누가 악의적인 쿼리를 날리는가 싶어서

스니퍼 장비(내부)에서  DNS 서버(DMZ)로 쿼리를 날리는 클라이언트를 잡아봤지만 없습니다.

반대로 방화벽(외부)에서 DNS 서버로 접근하는 클라이언트를 찾아봤지만 역쉬없습니다.

혹시나하여 IPS 장비에서 사건명으로 올라오는 아이피를 LOOKUP해보니

DNS1.NAME-SERVICES.COM ~ DNS5.NAME-SERVICES.COM 입니다.

한가지 특이한점은 DNS 서버의 특정 UDP 포트(33159)가 한상 열려있다는 점입니다.

(IPS장비의 로그를 통하여 확인하였고 서버에서 NETSTAT 명령으로도 확인했습니다.)

도대체 DNS 서버 어디에 셋팅이 되어있길래 출발지가 DNS서버 자신이 되어 지속적으로

위와 같은 서버와 통신을 하려다 IPS장비에서 막히는지 궁금합니다.