如何验证 DNS 陷坑

如果您想验证 DNS 污水处理功能是否通过帕洛阿尔托网络防火墙正常工作, 您需要观看此视频。

视频教程成绩单: 如何验证 DNS 坑

这是一个帕洛阿尔托网络视频教程,如何验证 DNS 坑.

我的名字是乔罗西, 我是来自帕洛阿尔托网络社区团队的解决方案工程师。

此视频有助于验证 DNS 污水处理功能是否通过帕洛阿尔托网络防火墙正常工作。

为了简单起见, 我将讨论如何使用外部 DNS 服务器验证客户端。

注意: 此外, 我们假设您已经配置了 DNS 污水处理功能, 并希望确保它能正常工作.

如果您想阅读有关使用 dns 陷坑验证内部和外部 dns 服务器的信息, 请参阅:

如何验证 DNS 的灰岩坑功能是工作

我已经讨论过如何在以前的视频中配置 DNS 污水池:

视频教程： 如何配置 DNS 的天坑

有关配置 DNS 陷坑的文档, 请参见:

如何配置 DNS 的天坑

DNS 污水处理功能如何工作？

今天, 我将与您讨论使用外部 dns 服务器进行恶意 dns 请求的客户端。

以下是有关 DNS 污水池保护工作原理的概述:

1。防火墙会看到可疑的 DNS 请求。

2。防火墙会阻止此请求并发送假 IP 以应答 DNS 请求。

3。受感染的客户端获取您的假 DNS 应答, 并尝试通过对污水池 IP 进行 http/https 调用来达到其命令和控制服务器。

4。如果您阻止了对此假 IP 的访问, 那么我们就可以确定哪个客户端被感染了。

注意: 帕洛阿尔托网络防火墙必须在 DNS 请求的路径中指向可疑的 URL, 并且在同一路径中受感染的机器试图访问 dns 污水池 IP.

现在再详细一点

 当客户端系统使用外部 dns 服务器访问已知的恶意 URL 时, DNS 查询将从客户端 (通过帕洛阿尔托网络防火墙) 转到外部 dns 服务器。防火墙劫持 dns 查询, 并以 dns 服务器的 dns 坑 IP 地址响应客户端。在这个例子中, 1.1.1.1 被用作假的 DNS 污水池 IP。在威胁日志中, 当发出可疑的 DNS 请求时, 您应该能够将客户端 IP 地址视为源。

接下来的步骤是寻找客户端试图访问 DNS 污水池 IP 1.1.1.1。  如果您已正确配置了防火墙, 则应阻止所有访问, 或在最低服务端口 80 (http) 或端口 443 (HTTPS) 上进行阻塞。在交通记录中, 你会看到1.1.1.1 的流量下降。

现在, 让我们从客户端的角度来看一看。

我们知道以下域被视为 "可疑域"。 

gdcqia.com

当我们正确地配置了 DNS 漏洞, 并且有人解析该域时, 假 DNS 池 ip 应该解决而不是真正的域的 ip 地址。

看看1.1.1.1 的表现。

通过使用可疑的 URL 手动执行此查找, 您现在可以直接看到 DNS 污水池正在工作以提供假 IP。

第二部分是假装您是受感染的主机, 打开 web 浏览器并尝试访问给定 IP 1.1.1.1 的可疑 URL。

访问网站将无法正常工作, 因为这是一个假 IP, 这是可以的。一分钟后, 您将看到这对于通信日志来说是多么重要。

现在, 如果你看看在威胁日志中-

回到 WebGUI 中, 选择监视器 > 威胁日志。我寻找我正在使用的客户端 IP 地址, 这是172.16.77.209。威胁日志显示可疑的 DNS 请求, 您会看到客户端 IP 地址172.16.77.209 为攻击者。

单击放大镜以获取更多详细信息-

注意操作是如何进行的, 应用程序是 DNS, 源是172.16.77.209 的, 因为我的客户端正在尝试8.8.8.8 并解析此 URL。

我们知道这是客户端发出这个 DNS 请求。但是, 如果您有内部 DNS 服务器, 则 ip 将显示而不是客户端 ip (只要 DNS 通信经过此防火墙)。在这种情况下, 我们可以跳到下一步。

此外, 在详细信息部分中, 您将看到 "间谍软件" 作为威胁类型, 以及 "可疑 DNS 查询" 作为威胁名称。

然后, 我们可以查看1.1.1.1 目标 IP 的通信日志, 如果您正确配置了阻止规则, 我们可以看到通信量正在下降。这就是我们如何确定受感染的客户是谁。由于1.1.1.1 是假 IP, 因此只有制造这些可疑 DNS 请求的机器才会尝试访问这些站点, 然后又被拒绝。您可以搜索您的通信日志, 或执行此规则的简单报告, 以获取您需要限制或访问的计算机的列表。

这个视频教程结束了。我们希望你喜欢这个视频, 并感谢收看。