DNS 查询 IP 不会从 PAN-OS 9.0以后解决到沉井
42002
Created On 03/10/20 04:06 AM - Last Modified 03/26/21 18:09 PM
Symptom
1. PAN-OS 在 9.0 之前,执行 DNS 与 Palo Alto 网络签名匹配的恶意域的查询 DNS 将解决到沉井 IP 地址:75.5.65.111。
2. PAN-OS 在 9.0 之前,ping ping 到与 Palo Alto 网络签名匹配的恶意域名 DNS ,该签名解析为 75.5.65.111 正常工作。
3. 从 PAN-OS 9.0 开始执行 DNS 查询到与 Palo Alto 网络签名或服务匹配的恶意域名 DNS DNS Security ,不会解决沉井 IP 地址问题。
4. ping 到与 Palo Alto 网络签名匹配的恶意域 DNS 名失败,主机错误未知。
Environment
- 使用窗口系统的客户端nsookup工具或基于 Unix 系统的挖掘工具执行 DNS 与 Palo Alto 网络签名匹配的域名查询 DNS
- PAN-OS 9.0及以上
- 帕洛阿尔托 Firewall .
Cause
帕洛阿尔托网络默认沉井 IP 地址将从 CNAME PAN-OS 9.0 起更改为记录。 规范的名字记录又名 CNAME ,他们作为别名,指向另一个 DNS 名字,而不是 IP 。
- 执行 DNS 恶意域名查找时,将返回此域, CNAME 而不是 A AAAA 或记录
- 安全和 IR 团队可以调查任何要求解决这些域名的客户
默认 CNAME 记录sinkhole.paloaltonetworks.com,这可以通过内容更新进行更新。
PAN-OS在9.0之前:
PAN-OS 9.0及以上:
Resolution
对于执行的窗口 NSLOOKUP 系统
:1. 通过导航以 启动>命令提示 或通过 运行 CMD>启动 Windows 命令提示。
2. 键NSLOOKUP入并点击输入。 默认服务器设置为本地 DNS 服务器,地址将是您的本地 IP 服务器。
3. DNS通过键入设置类型来设置要查找的记录类型###记录类型在哪里,然后点击输入。 因此,默认资源记录类型 A 是我们没有得到前面显示的答案的原因。 在这种情况下,我们将使用 CNAME 记录类型而不是分辨率。
4. 现在输入您想要查询的恶意域名,然后点击"输入"。 这同样适用于 文档中列出的测试域。
5. NSLOOKUP 现在将返回 CNAME 记录sinkhole.paloaltonetworks.com 6。
根据主机/应用程序/受感染的主机行为, DNS 可以进行第二次查找,以获取 IP 记录 sinkhole.paloaltonetworks.com 的地址 CNAME 。
7. 当 ping 平到sinkhole.paloaltonetworks.com时,您应该期待响应
或
使用Linux挖掘(域信息格罗珀)是一个命令行工具,用于查询 DNS 名称服务器。 挖掘命令允许您查询有关各种 DNS 记录的信息,包括主机地址、邮件交换和名称服务器。 它是系统管理员中用于故障排除问题的最常用 DNS 的工具,因为它的灵活性和易用性。
Additional Information
每当 DNS 出现与活动帕洛阿尔托网络签名匹配的查找时 DNS ,就会在威胁日志中生成相应的间谍软件类型事件。
DNS有关记录的解决过程的外部参考 CNAME 可在此处找到。