DNS Abfrage wird IP ab PAN-OS 9.0 nicht in die Sinkhole aufgelöst
42115
Created On 03/10/20 04:06 AM - Last Modified 03/26/21 18:09 PM
Symptom
1. Vor PAN-OS 9.0 wird das Ausführen einer Abfrage an eine bösartige Domäne, die mit der Palo DNS Alto Networks-Signatur übereinstimmt, DNS in die Sinkhole-Adresse IP 75.5.65.111 aufgelöst.
2. Vor PAN-OS 9.0 funktioniert ein Ping an eine bösartige Domäne, die mit der Palo Alto DNS Networks-Signatur übereinstimmt, die auf 75.5.65.111 aufgelöst wird, einwandfrei.
3. Ab 9.0 wird das Ausführen einer Abfrage an eine bösartige Domäne, die mit der PAN-OS DNS Palo Alto Networks-Signatur oder dem Dienst übereinstimmt, DNS nicht zu DNS Security Sinkhole-Adressen IP aufgelöst.
4. Ping en to a malicious domain that matches Palo Alto Networks DNS signature fails with unknown host error.
Environment
- Verwenden eines Client-Nslookup-Tools für Windows-System oder eines Dig-Tools für Unix-basiertes System zum Durchführen von Abfragen für DNS die Domänenübereinstimmung mit palo Alto DNS Networks-Signatur
- PAN-OS 9.0 und höher
- Palo Alto Firewall .
Cause
Die standardmäßigen Sinkhole-Adressen von Palo Alto Networks IP werden CNAME ab 9.0 in Datensätze PAN-OS geändert. Canonische Namensdatensätze aka CNAME , sie fungieren als Aliase und verweisen auf einen anderen Namen anstelle von DNS IP .
- Wenn eine DNS Suche nach einer böswilligen Domäne durchgeführt wird, wird diese CNAME anstelle eines A AAAA
- Sicherheit und Teams können alle Clients untersuchen, die IR eine Lösung dieser Domänen anfordern
Der CNAME Standarddatensatz ist sinkhole.paloaltonetworks.com und kann über die Inhaltsaktualisierung aktualisiert werden.
Vor PAN-OS 9.0:
PAN-OS 9.0 und höher:
Resolution
Für Windows-Systeme, die NSLOOKUP ausführen:
1. Starten Sie die Windows-Eingabeaufforderung, indem Sie zu Start > Eingabeaufforderung oder über Ausführen > CMDnavigieren.
2. Geben NSLOOKUP Sie enter ein, und drücken Sie auf Enter. Der Standardserver ist auf Ihren lokalen , DNS die Adresse wird Ihre lokale IP
. 3. Legen Sie den DNS Datensatztyp fest, den Sie suchen möchten, indem Sie den Satz typ= eingeben, wobei der Datensatztyp "" ist, und dann auf Enter drücken. Der Standardressourcendatensatztyp ist A daher der Grund, warum wir keine Antwort erhalten, wie zuvor gezeigt. In diesem Fall verwenden wir CNAME den Datensatztyp anstelle der Auflösung.
4. Geben Sie nun den bösartigen Domänennamen ein, den Sie abfragen möchten, und klicken Sie dann auf Enter. Gleiches gilt für die in der Dokumentationaufgeführten Testdomänen .
5. NSLOOKUP gibt nun den Datensatz CNAME sinkhole.paloaltonetworks.com
6 zurück. Je nach Host/Anwendung/infiziertem Hostverhalten kann eine zweite DNS Suche durchgeführt werden, um die Adresse für die Aufzeichnung sinkhole.paloaltonetworks.com abzubekommen. IP CNAME
7. Sie sollten eine Antwort erwarten, wenn Sie an sinkhole.paloaltonetworks.com
oder
Die Verwendung von Linux Dig (Domain Information Groper) ist ein Befehlszeilentool zum Abfragen von DNS Namensservern. Mit dem Befehl dig können Sie Informationen zu verschiedenen DNS Datensätzen abfragen, z. B. zu Hostadressen, E-Mail-Austausch und Namensservern. Es ist das am häufigsten verwendete Tool unter Systemadministratoren zur Problembehandlung DNS aufgrund seiner Flexibilität und Benutzerfreundlichkeit.
Additional Information
Immer wenn eine Suche erfolgt, die mit der DNS aktiven Palo Alto Networks-Signatur DNS übereinstimmt, wird im Bedrohungsprotokoll ein entsprechendes Spyware-Typereignis generiert.
Externe Referenz zum DNS Auflösungsprozess für CNAME Datensätze finden Sie hier.