<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;"><DIV>Thanks Fajr.</DIV>
<DIV> </DIV>
<DIV>I will handle it further.</DIV>
<DIV> </DIV>
<DIV>Regards</DIV>
<DIV>Babu<BR><BR>--- On <B>Wed, 11/1/12, Fajar A. Nugraha <I><work@fajar.net></I></B> wrote:<BR></DIV>
<BLOCKQUOTE style="BORDER-LEFT: rgb(16,16,255) 2px solid; PADDING-LEFT: 5px; MARGIN-LEFT: 5px"><BR>From: Fajar A. Nugraha <work@fajar.net><BR>Subject: Re: huge count of DNS deny hits<BR>To: "babu dheen" <babudheen@yahoo.co.in><BR>Cc: bind-users@lists.isc.org<BR>Date: Wednesday, 11 January, 2012, 1:59 PM<BR><BR>
<DIV class=plainMail>On Wed, Jan 11, 2012 at 1:27 PM, babu dheen <<A href="http://in.mc1373.mail.yahoo.com/mc/compose?to=babudheen@yahoo.co.in" ymailto="mailto:babudheen@yahoo.co.in">babudheen@yahoo.co.in</A>> wrote:<BR>><BR>> Dear Fajar,<BR>><BR>>  Below logs taken from Internal DNS server running in Microsoft DNS.<BR><BR>Then why did you ask this list instead of contacting MS support?<BR><BR>> I checked with client AV status, everything is fine( system is up to date with DAT from Mcafee AV and no threat found in the complete scan output).<BR>><BR>> But really no idea.. why it happens..  Client is pointed to use different DNS server but DNS flood query is being sent to another DNS server<BR><BR>AV doesn't catch all threats.<BR><BR>Anyway, from bind's perspective, a dns query asking for bind version<BR>is a valid TXT query. But the query can be used by malware,<BR>vulnerability scanners, or hackers looking for
 vulnerable bind<BR>versions.<BR><BR>In a way, it's similar to ICMP echo (i.e. ping) packets. It's a valid<BR>packet, but a lot of virus/malware is using it to determine which<BR>neighbour hosts to attack. How do you handle ICMP flood cases? The<BR>same mechanism should be applicable in this case.<BR><BR>-- <BR>Fajar<BR></DIV></BLOCKQUOTE></td></tr></table>