Überprüfen von DNS Sinkholing auf 9.0 und 9.1

Um DNS Sinkhole-Funktionen zu testen, ist es am besten, eine neue aus der URL neuesten veröffentlichten Liste von bösartigen URLs zu erhalten.
Um diese Liste zu erhalten, gehen Sie auf die Registerkarte Gerät, wählen Sie D ynamische Updates aus, und überprüfen Sie die Versionshinweise für den aktuell installierten AV Inhalt.

Die Liste wird in einem neuen Fenster angezeigt, scrollen Sie einfach in der Liste nach unten, bis neue Spyware-Signaturen angezeigt werden.

Wählen Sie eine beliebige Domäne aus der Liste aus. Stellen Sie sicher, dass Sie nur die FQDN und nicht die Signatur auswählen.
Der erste Teil ist der Signaturname Backdoor.bladabindi die zweite Hälfte ist der FQDN Teil, den Sie verwenden müssen, um zu testen.
Zum Beispiel Backdoor.bladabindi:flexin.duckdns.org der einzige Teil, den Sie benötigen, ist flexin.duckdns.org.

Wenn wir einen Nslookup auf einem mit einem firewall vonOS 8.1 durchführen, sehen wir das Palo Alto Sinkhole IP

Now mit 9.0 sehen wir die nicht autoritative Antwort, aber keine Adresse. Dies liegt daran, dass die Antwort ein cname und keine Adresse ist.

Wenn wir >set type=cname eingeben, erhalten wir Folgendes.

Wie Sie sehen können, gibt die DNS Anforderung jetzt den Cname von sinkhole.paloaltonetworks.com zurück.


Wenn Sie eine IP Adresse benötigen, um anzuzeigen, wird empfohlen, eine Ihrer eigenen Sinkhole-Adressen IP oder die Loopback-Adresse zu verwenden.

Am 9.0 und 9.1 Die Signatur oder der Dienst von Palo Alto Networks DNS DNS Security wird nicht aufgelöst, um Dieblochadressen zu IP verwenden. Es wird nur einen Cname aufgelöst und nur, wenn Sie nslookup so einstellen, dass er angezeigt wird.
Die Anforderung wird weiterhin versenkt und blockiert, sie löst einfach keine IP Adresse auf.

Wenn auf die Loopback-Adresse oder eine Adresse Ihrer Wahl festgelegt ist, wird die Rückgabe diese Adresse sein, und die Anforderung wird weiterhin versenkt.