Wie man DNS-Sink Loch überprüft
Resolution
Wenn Sie überprüfen möchten, ob die DNS-Sink Loch-Funktion über eine Palo Alto Networks-Firewall einwandfrei funktioniert, werden Sie dieses Video sehen wollen.
Video-Tutorial-Transkript: wie man DNS-Sink Loch überprüfen
Dies ist ein Video-Tutorial von Palo Alto Networks, wie man DNS Sink Loch überprüft.
Mein Name ist Joe Delio und ich bin ein Lösungs Ingenieur aus dem Palo Alto Networks Community Team.
Dieses Video hilft zu überprüfen, ob die DNS-Sink Loch-Funktion durch eine Palo Alto Networks-Firewall einwandfrei funktioniert.
Für die Einfachheit werde ich über die Überprüfung eines Clients mit einem externen DNS-Server sprechen.
Hinweis: Wir gehen auch davon aus, dass Sie bereits die DNS-Sink Loch-Funktion konfiguriert haben, und möchten sicherstellen, dass Sie richtig funktioniert.
Wenn Sie über die Überprüfung des internen und externen DNS-Servers mit DNS-Sink-Loch lesen möchten, sehen Sie bitte:
Wie arbeitet überprüfen Sie DNS-Doline Funktion
Ich habe darüber gesprochen, wie man DNS-sinkloch in einem früheren Video konfigurieren kann:
Video-Tutorial: Wie man DNS-Doline konfigurieren
Ein Dokument über die Konfiguration von DNS-sinkloch finden Sie unter:
Gewusst wie: Konfigurieren von DNS-Doline
Wie funktioniert die DNS-Sink Loch-Funktion?
Ich werde heute mit Ihnen über einen Client sprechen, der einen externen DNS-Server verwendet, der eine böswillige DNS-Anfrage macht.
Hier ein Überblick darüber, wie der DNS-sinkloch-Schutz funktioniert:
1. Die verdächtige DNS-Anfrage wird von der Firewall gesehen.
2. Die Firewall blockiert diese Anfrage und sendet eine gefälschte IP, um die DNS-Anfrage zu beantworten.
3. Der infizierte Client erhält ihre gefälschte DNS-Antwort und versucht, seinen Befehls-und Steuerungs Server zu erreichen, indem er den HTTP/HTTPS-Aufruf zum sinkhole IP macht.
4. Wenn Sie den Zugriff auf diese gefälschte IP blockieren, dann können wir feststellen, welcher Client infiziert ist.
Hinweis: die Palo Alto Networks Firewall muss sich im Pfad der DNS-Anfrage zu einer verdächtigen URL befinden und auch auf dem gleichen Pfad versucht der infizierte Rechner, auf die DNS-Sink Loch-IP zuzugreifen.
Jetzt mit etwas mehr Details—
Wenn das Client-System über einen externen DNS-Server auf eine bekannte bösartige URL zugreift, geht die DNS-Abfrage vom Client über die Palo Alto Networks Firewall, dann zum externen DNS-Server. Die Firewall entführt die DNS-Abfrage und reagiert als DNS-Server mit der DNS-sinkloch-IP-Adresse auf den Client. In diesem Beispiel wird 1.1.1.1 als gefälschte DNS-Sink Loch-IP verwendet. Innerhalb der Bedrohungs Protokolle sollten Sie in der Lage sein, die IP-Adresse des Clients als Quelle zu sehen, wenn die verdächtige DNS-Anfrage gestellt wird.
Der nächste Schritt wäre die Suche nach dem Kunden, der versucht, auf die DNS Sink Hole IP 1.1.1.1 zuzugreifen. Wenn Sie Ihre Firewall richtig konfiguriert haben, dann sollten Sie alle Zugriffe blockieren, oder bei einem minimalen Service-Port 80 (http) oder Port 443 (HTTPS). Im Inneren der Verkehrsprotokolle sehen Sie den abgefallenen Verkehr auf 1.1.1.1.
Schauen wir uns das nun aus der Kundenperspektive an.
Wir wissen, dass die folgende Domain als "verdächtige Domäne" angesehen wird.
gdcqia.com
Wenn wir das DNS-Sink Loch richtig konfiguriert haben und jemand diese Domain löst, sollte die gefälschte DNS-Sink-IP-Adresse anstelle der IP-Adresse der realen Domain aufgelöst werden.
Sehen Sie, wie 1.1.1.1 auftaucht.
Indem Sie diese Suche manuell mit einer verdächtigen URL ausführen, können Sie nun aus erster Hand sehen, dass das DNS-sinkloch arbeitet, um die gefälschte IP-Adresse bereitzustellen.
Der zweite Teil davon ist, so zu tun, als seien Sie ein infizierter Host, öffnen Sie einen Webbrowser und versuchen Sie, die verdächtige URL mit dem gegebenen IP-1.1.1.1 zu besuchen.
Der Zugriff auf die Website wird nicht funktionieren, da es sich um eine gefälschte IP handelt, was in Ordnung ist. In einer Minute wird man sehen, wie das für die Verkehrsprotokolle wichtig ist.
Nun, wenn Sie in die Bedrohungs Protokolleschauen —
Zurück in der WebGui, wählen Sie Monitor > Bedrohungs Protokolle. Ich Suche die Client-IP-Adresse, die ich benutze, die 172.16.77.209 ist. Die Bedrohungs Protokolle zeigen die verdächtige DNS-Anfrage an und Sie sehen die IP-Adresse des Clients 172.16.77.209 als Angreifer.
Klicken Sie auf die Lupe, um weitere Details zu erfahren—
Beachten Sie, wie die Aktion sinkhole ist, die Anwendung ist DNS und die Quelle ist 172.16.77.209, weil mein Client selbst versucht, auf 8.8.8.8 zu gehen und diese URL zu lösen.
Wir wissen, dass dies der Kunde ist, der diese DNS-Anfrage macht. Aber wenn Sie einen internen DNS-Server hätten, würde diese IP anstelle der Client-IP angezeigt (solange der DNS-Verkehr durch diese Firewall ging). In diesem Fall können wir den nächsten Schritt überspringen.
Auch innerhalb des Details Abschnitts sehen Sie "Spyware" als Bedrohungs Typ und "verdächtige DNS-Abfrage" als Bedrohungs Name.
Dann können wir einen Blick auf die Verkehrsprotokolle für Destination IP von 1.1.1.1 werfen, und wir können sehen, dass der Verkehr gelöscht wird, wenn Sie Ihre Sperr Regeln richtig konfiguriert haben. So können wir bestimmen, wer die infizierten Kunden sind. Da 1.1.1.1 eine gefälschte IP ist, werden nur die Maschinen, die diese Verdächtigen DNS-Anfragen machen, versuchen, auf diese Seiten zuzugreifen, und dann wiederum verweigert werden. Sie können Ihre Traffic-Protokolle durchsuchen, oder eine einfache Berichterstattung über diese Regel durchführen, um eine Liste der Maschinen zu erhalten, die Sie einschränken oder besuchen müssen.
Damit ist dieses Video-Tutorial beendet. Wir hofften, dass Ihnen dieses Video gefallen hat, und vielen Dank für das zuschauen.