DNS 陥没を確認する方法
Resolution
DNS 陥没機能がパロアルトネットワークファイアウォールを通じて正常に動作していることを確認したい場合は、このビデオを見てみてください。
ビデオチュートリアルトランスクリプト: どのように DNS の陥没を確認する
これは、パロアルトネットワークビデオチュートリアル、どのように DNS の陥没を確認することです。
私の名前はジョー Delio と私はパロアルトネットワークコミュニティチームからのソリューションエンジニアです。
このビデオでは、DNS 陥没機能がパロアルトネットワークファイアウォールを介して正常に動作しているかどうかを確認できます。
わかりやすくするために、外部 DNS サーバーを使用するクライアントの検証について説明します。
注: また、既に DNS 陥没機能が構成されており、正常に動作していることを確認したいと想定しています。
dns 陥没を使用した内部および外部 dns サーバーの検証についてお読みになりたい場合は、以下を参照してください。
私は、以前のビデオで DNS 陥没を構成する方法について話しました:
DNS 陥没の構成に関するドキュメントについては、以下を参照してください。
DNS 陥没機能のしくみ
私は、悪意のある dns 要求を行う外部 dns サーバーを使用して、クライアントについて今日あなたと話をされます。
ここでは、DNS 陥没保護のしくみについて概説します。
1。疑わしい DNS 要求は、ファイアウォールによって認識されます。
2。ファイアウォールはこの要求をブロックし、DNS 要求に答えるために偽の IP アドレスを送信します。
3。感染したクライアントは、偽の DNS の答えを取得し、陥没 IP に http/https 呼び出しを行うことによって、そのコマンドとコントロールサーバーに到達する trys。
4. この偽の IP へのアクセスをブロックしている場合, それはどのように我々はクライアントが感染しているかを判断することができます.
注: パロアルトネットワークファイアウォールは、疑わしい URL への dns 要求のパスで、感染したマシンが dns 陥没 IP にアクセスしようとするのと同じパスにもなければなりません。
もう少し詳しく-
クライアントシステムが外部 dns サーバーを使用して既知の悪質な URL にアクセスしている場合、dns クエリはクライアントから、パロアルトネットワークファイアウォールを経由して、外部 dns サーバーに移動します。ファイアウォールは dns クエリをハイジャックし、dns 陥没 IP アドレスを持つ dns サーバーとしてクライアントに応答します。この例では、1.1.1.1 は偽の DNS 陥没 IP として使用されています。脅威ログの内部では、疑わしい DNS 要求が行われたときに、クライアントの IP アドレスをソースとして確認できる必要があります。
次の手順では、DNS 陥没 IP 1.1.1.1 にアクセスしようとしているクライアントを探します。 ファイアウォールを適切に構成している場合は、すべてのアクセスをブロックするか、最小のサービスポート 80 (http) またはポート 443 (HTTPS) を使用する必要があります。トラフィックログの内部には、1.1.1.1 へのトラフィックの減少が表示されます。
ここでは、クライアントの観点からこれを見てみましょう。
我々は、次のドメインは、"疑わしいドメインと見なされていることを知っている。
gdcqia.com
dns 陥没を適切に構成し、そのドメインを解決した場合、偽の dns 陥没 ip は、実際のドメインの ip アドレスの代わりに解決する必要があります。
1.1.1.1 がどのように表示されて参照してください。
疑わしい URL でこのルックアップを手動で実行することによって、DNS 陥没が偽の IP を提供するために作業していることを、直接確認できるようになりました。
この2番目の部分は、あなたが感染したホストであることをふりをすることです, web ブラウザを開いて、与えられた IP 1.1.1.1 で不審な URL を訪問してみてください.
サイトへのアクセスは、それが OK である偽の IP アドレスであるように、動作しません。分では、どのようにトラフィックログにとって重要であることがわかります。
ここで、脅威ログ の内部を調べると、
WebGUI の内側に戻って、モニター > 脅威ログを選択します。私は172.16.77.209 である、私が使用しているクライアントの IP アドレスを探します。脅威ログには、疑わしい DNS 要求が表示され、クライアントの IP アドレス172.16.77.209 が攻撃者として表示されます。
拡大鏡をクリックして詳細をご覧ください -
私のクライアント自体が8.8.8.8 に出て、この URL を解決しようとしているので、アクションが陥没、アプリケーションが DNS であり、ソースが172.16.77.209 であることに注意してください。
これはクライアントがこの DNS 要求を行っていることを知っています。ただし、内部 dns サーバーがある場合、その ip はクライアント ip ではなく表示されます (dns トラフィックがこのファイアウォールを通過している限り)。その場合は、次のステップに進むことができます。
また、[詳細] セクションの中には、脅威の種類として ' スパイウェア '、および ' 疑わしい DNS クエリ ' が脅威名として表示されます。
その後、我々は1.1.1.1 の宛先 IP のトラフィックログを見てみることができる、と我々は正しくブロックのルールを構成した場合は、トラフィックが削除されていることがわかります。これは、感染したクライアントが誰であるかを判断する方法です。1.1.1.1 は偽の IP であるため、これらの不審な DNS 要求を行うマシンだけがこれらのサイトにアクセスしようとしているので、順番に拒否されます。トラフィックログを検索したり、このルールに関する簡単なレポートを実行して、制限または訪問する必要のあるマシンの一覧を取得したりできます。
これは、このビデオチュートリアルを終了します。私たちは、このビデオを楽しんで期待し、見ていただきありがとうございます。