Ich aktiviere seit Jahren in allen SonicWall wie in dem (schon etwas älteren) Dokument Firewall Best Practices beschrieben, das Feature “DNS Rebinding Attack Prevention” mit der Option “Log Attack & Drop DNS Reply”.

Dies führt allerdings immer wieder im Event Log zu vielen “DNS rebind attack blocked” Einträgen (ID 1099), die ich mir nicht erklären konnte. Als “Source” wird bei diesen Einträgen immer einer der am Domain Controller eingetragenen DNS-Forwarder angezeigt, als “Destination” einer der Domain Controller.

Ich habe jetzt gemäß einem SonicWall Knowledgebaseartikel den Traffic mit dem Packet Monitor (Ether Type=”IP”, IP Type=”UDP”, Source Port=”53″, “Dropped packets only”) mitgeschnitten. Ohne wie in dem Artikel empfohlen auf Wireshark zurückzugreifen, konnte ich bereits im SonicWall User Interface erkennen, dass im Content aller geblockten Pakete entweder “xxxxx.wildixintegration.eu” oder “xxxxx.avqs.mcafee.com” enthalten war.
Ich habe herausgefunden, dass beide URLs (gewollt) zu IPs aus dem Bereich 127.0.0.0/8 aufgelöst werden, was zu der Interpretation einer DNS Rebind Attack durch die SonicWall führt.

Ich habe daraufhin zuerst zwei Address Objects vom Typ FQDN (“*.wildixintegration.eu” und “*.avqs.mcafee.com”) angelegt und diese beiden Objekte dann in eine neue Address Group gepackt. Diese Gruppe habe ich dann bei “DNS Rebinding Attack Prevention” den “Allowed Domains” zugewiesen.

Seitdem sind keine “DNS rebind attack blocked” Events mehr angezeigt worden.