Seltsame DNS-Anfrage eines Notebooks in meinem Netzwerk

[Chickimelba]

Hallo zusammen,

heute sind mir einige seltsame DNS-Anfragen eines Notebooks in meinem Netzwerk aufgefallen. Diese Anfragen versuchen die "Adresse" "8bcbce000000" aufzulösen (s. Foto). Als DNS-Server dient ein Pi-hole mit Unbound hinter einer FritzBox 6490.
Wenn das Notebook angeschaltet ist, kommt eine DNS-Anfrage ziemlich genau alle 10 Minuten. Seit Anfang November sind es schon über 100 Anfragen.



Hat Jemand eine Idee, was das sein kann? Bin für jeden Tipp dankbar.

 

[t-6]

Das sieht aus als ob ein Programm versucht eine MAC-Adresse aufzulösen, aber 8b:cb:ce:00:00:00 ist keine gültige MAC-Adresse & 8b:cb:ce ist auch keine gültige MAC-OUI über die sich ein Hersteller herausfinden lassen würde.

Ich würde mal auf dem fraglichen Gerät Wireshark oder Process Monitor laufen lasen und dann rausfiltern welcher Prozess diese DNS-Anfragen stellt. Dann mal weiterschauen.

 

[Jusic]

Vielleicht ein Netzwerkdrucker?! Erinnert mich nämlich ein bisschen an den Hostname von meinem Drucker brwf8da0c484264

 

[Pitt_G.]

@Chickimelba das kann auch wins sein, neuerdings agieren dns servet quasi als wins, es sieht fast nach der suche na einem bestimmten Hersteller mac aus, nur gibt es den nach meiner schnellen Recherche nicht, oder es ist ein Sinkhole ,bei dem Malware prüft, ob sie in einer sandbox läuft, wird die dns abfrage in der sandbox beantwortet, versteckt sie sich, vielleichtmauch ipv6, multicast, igmp zeugs, lldp,mdns, apple Zeugs wie Bonjournauf der kiste

 

[Chickimelba]

Schon mal vielen Dank für die Antworten. Das mit der MAC-Adresse, bzw. dem Netzwerkdrucker waren
gute Hinweise. Tatsächlich endet die MAC-Adresse meines Druckers mit xx:xx:xx:8b:cb:ce. Zufall?

Kann ein Fehler im Druckertreiber oder der Druckersoftware dafür verantwortlich sein?

Ergänzung (4. November 2020)

@Pitt_G würden wins-Anfragen denn auch in der Pi-hole Console angezeigt werden? Ich kenne mich da nicht wirklich aus.
Laut Console handelt es sich um Type-A-Anfragen, das müssten IPv4-Anfragen sein.

 

[NameHere]

Der Drucker will nach Hause telefonieren. Sperr den mal in der Fritzbox für ausgehende Verbindungen.
(Zugagsprofil>Gesperrt)

 

[Chickimelba]

Der Drucker ist bereits in der Fritzbox gesperrt. DNS-Anfragen schickt dieser ab und zu an google und diese blockiere ich dann in Pi-hole.
Diese Anfragen oben kommen allerdings von der IP des Notebooks und nicht von der IP des Druckers. Das ist es, was micht stutzig mach.

 

[Pitt_G.]

@Chickimelba ist jetzt Apple Bonjour auf dem Laptop drauf? Das Ding nutzt mDNS um Geräte im LAN zu finden, kann ja sein Du interpretierst das falsch und es ist gar keine gerichtete dns abfrage, sondern ein Broadcast oder Multicast, was sagt denn die Ziel MAC Adresse bei der Abfrage. Wireshark hilft

 

[Uridium]

Das ist ein gültiger interner FQDN/Hostname (von der Fritzbox vergeben). Die IP steht doch auch daneben (hast Du ausgegraut).
Was genau willst Du denn jetzt wissen? Welches Programm das auf deinem Notebook erzeugt? Was ist das für ein Programm, das man auf deinem Screenshot sieht? Ich würde zuerst den Traffic (zeitlich neben den Anfragen) analysieren.

 

[Chickimelba]

@Pitt_G. Apple Bonjour ist nicht auf dem Notebook drauf. Wireshark werde ich mal testen. Danke.

@Uridium Vielen Dank für die Infos. Das war mir so nicht bekannt. Was mich halt gewundert hat, ist, dass diese "DNS-Anfrage" in der Pi-hole Console aufgetreten ist und daher war ich der Meinung, dass irgendeien seltsame Software versucht nach außen zu kommen. Wenn das nur intern ist, kann ich es ja ignorieren.