どのように DNS 陥没関数の確認作業は、します。
Resolution
詳細
このドキュメントは、DNS 陥没機能がパロアルトネットワークファイアウォールを介して正常に動作しているかどうかを確認するために設計されています。
次の2つのシナリオについて説明します。
- 外部 DNS サーバーを使用するクライアント
- 内部 DNS サーバーを使用するクライアント
DNS 陥没の構成
DNS 陥没を構成する方法については、以下を参照してください。
また、我々は、DNS 陥没を構成する方法についてのビデオチュートリアルを持っている:
外部 DNS サーバーを使用するクライアント
メモ: DNS 陥没 IP は、ファイアウォールとクライアントのパスにある必要があり、そこからログを見ることができます。たとえば、パロアルトネットワークファイアウォールは、感染したクライアントとデータセンターの間に座っているが、それはインターネットを参照していません。このシナリオでは、DNS 陥没がインターネット IP を使用して構成されている場合、ファイアウォールは、感染したクライアントがコマンド & コントロールサーバーに到達しようとしていることを確認しません。
dns 陥没機能がパロアルトネットワークファイアウォールで構成され、クライアントシステムが外部 dns サーバーを使用している場合、クライアントからの dns クエリは、パロアルトネットワークファイアウォールを経由して外部 dns サーバーに移動します (クライアントと dns サーバーは異なるサブネット)。予想どおり、ユーザーは、クライアント IP アドレスを持つ脅威ログをソースとして表示できる必要があります。
- ユーザーが悪質な web サイトにアクセスしようとしています。クライアントシステムは、悪質な web サイトの IP アドレスを取得するために、dns クエリを外部 dns サーバーに送信します。ファイアウォールは、クライアントシステムから直接 DNS クエリを受信します。
- ファイアウォールは、dns クエリをハイジャックし、クライアントに dns 陥没 ip アドレスを与えるだろうし、ソースとしてクライアントの ip アドレスを持つ脅威のログを見ることができるはずです。
クライアントの tcp/ip プロパティの構成
次の構成例を確認します。
脅威ログ
外部 DNS サーバーを使用する場合、脅威ログにはクライアントの IP アドレス "192.168.27.192" が悪意のある web サイトにアクセスしようとしているソースとして表示されます。
外部 DNS サーバーを使用する場合のクライアント出力
$ nslookup 79fe3m5f4nx8c1.pmr.cc
サーバー: 195.130.131.4
アドレス: 195.130.131.4 # 53
非権威の答え:
名前: 79fe3m5f4nx8c1.pmr.cc
アドレス: 72.5.65.111
上記のスクリーンショットは、ホストマシン192.168.27.192 が "79fe3m5f4nx8c1.pmr.cc" (疑わしい URL) の DNS 要求を実行し、応答が72.5.65.111 であることを示しています。したがって、DNS 陥没が必要に応じて動作していることを示します。
内部 DNS サーバーを使用するクライアント
クライアントシステムが内部 dns サーバーを使用している場合 (クライアントと dns サーバーが同じサブネット内にある場合)、クライアントからの dns クエリは内部 dns サーバーに移動します。内部 dns サーバーがこのクエリを外部 dns サーバーに転送し、内部 dns サーバーの IP アドレスを持つ脅威ログがソースとして認識されます。
現在、パロアルトネットワークファイアウォールは、すべての脅威ログがソースとして内部 DNS サーバーの IP アドレスを持つため、脅威ログの助けを得て悪意のある web サイトにアクセスしようとしているエンドクライアントを特定できません。ただし、ファイアウォールは、トラフィックログのヘルプを使用してエンドクライアントの IP アドレスを決定できる必要があります。
以下は、ユーザーが悪質な web サイトにアクセスしようとしている例です。クライアントシステムは、悪質な web サイトの IP アドレスを取得するために、dns クエリを内部 dns サーバーに送信します。ここで、内部 dns サーバーは、dns クエリを外部 dns サーバーに転送します。ファイアウォールは、内部 dns サーバーから dns クエリを受信します。
ファイアウォールは dns クエリをハイジャックし、dns 陥没 IP アドレスを内部 dns サーバーに与えます。内部 dns サーバーは、クライアントシステムに応答を転送し、ユーザーが内部 dns サーバーの IP アドレスを持つ脅威ログをソースとして表示できるようにする必要があります。クライアントは、次のスクリーンショットに示すように、DNS 陥没 ip アドレスでそのウェブサイトにアクセスしようとするので、しかし、パロアルトネットワークファイアウォールは、トラフィックログにクライアントの ip アドレスを見ることができるはずです。
クライアントの tcp/ip プロパティの構成
脅威ログ
脅威ログでは、クライアントシステムが内部 dns サーバーの ip を使用しているため、ファイアウォールは内部 dns サーバーの ip アドレス "10.50.240.101" のみをソースとして表示します。ここで、ファイアウォールは、どのエンドクライアントがその web サイトにアクセスしようとしているかを判断できません。
トラフィックログ
ただし、クライアントが DNS サーバーから ip アドレスを取得するとすぐに、陥没 ip アドレス (72.5.65.111) に向かってトラフィックが生成されます。したがって、ファイアウォールは、次に示すように、トラフィックログにエンドクライアントの IP アドレス "192.168.27.192" が表示されます。
内部 DNS サーバーを使用する場合のクライアント出力
$ nslookup 4cdf1kuvlgl5zpb9.pmr.cc
サーバー: 192.168.27.189
アドレス: 192.168.27.189 # 53
非権威の答え:
名前: 4cdf1kuvlgl5zpb9.pmr.cc
アドレス: 72.5.65.111
上記のスクリーンショットは、72.5.65.111 の応答で 4cdf1kuvlgl5zpb9.pmr.cc (疑わしい URL) のための DNS 要求を実行しているホスト・マシン192.168.27.192 を示します。これは、DNS 陥没が必要に応じて動作していることを確認します。
また見なさい
どのように DNS の陥没を使用して Conficker に対処する
ここで、dns 陥没をテストするための不審な dns クエリを取得する
DNS 陥没のビデオチュートリアルについては、次を参照してください。
所有者: sbabu