Здравствуйте.

Ситуация такая: на шлюзе стоит кэширующий DNS-сервер (9.3.4). В syslog попадает много сообщений вида:

ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 195.14.50.1#53
ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 85.21.192.3#53
ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 213.234.192.8#53
ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.97.100#53
ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.96.200#53

DNS-сервер обслуживает внутреннюю локальную сеть.
Я так понимаю, это сетевые черви-троянцы пытаются найти почтовые релеи?
Как определить, от каких компьютеров приходят запросы?

• Как отследить DNS-запросы?,lamonymous, 11:49 , 06-Июл-10
  • Как отследить DNS-запросы?,sopisia, 20:50 , 23-Июл-10

>[оверквотинг удален]
>
>ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 195.14.50.1#53
>ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 85.21.192.3#53
>ext-gw named[2479]: unexpected RCODE (SERVFAIL) resolving 'allbecon.es/MX/IN': 213.234.192.8#53
>ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.97.100#53
>ext-gw named[2479]: lame server resolving 'allbecon.es' (in 'allbecon.es'?): 80.67.96.200#53
>
>DNS-сервер обслуживает внутреннюю локальную сеть.
>Я так понимаю, это сетевые черви-троянцы пытаются найти почтовые релеи?
>Как определить, от каких компьютеров приходят запросы?

Навскидку вижу 2 способа:
1) включить логирование запросов в BIND
2) включить tcpdump на слушание порта 53 UDP

wireshark