Abfrage generisch-generierter Domains

[c_k]

Hallo zusammen,

bin gerade eben Netzwerk Logs durchgegangen. Dabei sind mir Clients aufgefallen, die scheinbar versuchen generierte Domains per DNS abzufragen.
So werden z.B. Domains abgefragt wie adjhfkgfkj.fritz.box.
Die Clients sind in einem VPN. Daher kann diese Abfrage sowieso nicht glücken. Aber ich habe den Verdacht, dass sich die Clients in einer Art DGA-Botnet befinden.
Hat schon mal jemand etwas ähnliches gesehen? Oder kann es dafür sogar eine ganz simple Erklärung geben?

 

[Sephe]

*.fritz.box ist das interne netzwerk, und zwar ist dies eine Anfrage zu dem PC mit dem Hostnamen "ABCD", der mit der Fritz!Box verbunden ist (und somit in der domain fritz.box ist)

 

[c_k]

Danke für die schnelle Antwort.

Du hast Recht. Das sind interne Abfragen. Ich frage mich nur, warum sollte ein Client solche merkwürdigen Hostnamen versuchen aufzulösen.
Er tauscht auch mal die Domänen aus. So dass er auch mal die AD Domäne von VPN nimmt.
Immer drei Abfragen mit seiner HomeOffice .fritz.box und immer drei mit der DNS Zone vom VPN. Dabei sind alle sechs Abfragen zu unterschiedlichen Domains bzw. Hostnamen. Müsste also nach irgendeinem Algorithmus gehen.

 

[c_k]

Hat das noch niemand gesehen. Suche immer noch einen Grund, warum die Clients so ein Verhalten zeigen sollen.
Als würde der Client zuvor Hostnamen bzw. Domains vorher generieren, um diese dann abzufragen. Und zwar mit allen DNS Suffixen, die auf dem Client eingetragen sind.
Hier mal ein Logauszug: