DNS9.0 および 9.1 でシンクホールを確認する方法
Objective
9.0 より前のリリースでは PAN-OS DNS 、Palo Alto Networks の署名に一致する悪意のあるドメインに対してクエリ DNS を実行すると、シンクホール IP アドレス 75.5.65.111 に解決されます。
PAN-OS9.0 以降 DNS 、Palo Alto Networks のシグネチャまたはサービスに一致する悪意のあるドメインへのクエリ DNS DNS Security を実行すると、シンクホール アドレスに解決されません IP 。
DNS 悪意のあるドメインへのルックアップが実行されると、これはまたはレコードの代わりに返されます これは、シンクホール設定ボックスを見ると、古いOS、パロアルトネットワークシンクホール(75.5.65.111)で見ていたものではなく、 CNAME A AAAA DNS シンクホールIPv4パロアルトネットワークスシンクホール IP IP (sinkhole.paloaltonetworks.com)が表示される理由です
OS 。 私たちはパロアルトシンクホールのアドレスを見ることに慣れている。 (75.5.65.111)
Procedure
DNS シンクホール関数をテストするには、 URL 最新の公開された悪意のある URL のリストから新しい情報を取得することをお勧めします。
このリストを取得するには、[デバイス]タブに移動しD、[ynamic Updates]を選択して、現在インストールされているコンテンツのリリースノートを確認 AV します。
リストは新しいウィンドウに表示され、新しいスパイウェアの署名が表示されるまでリストを下にスクロールします。
リストから任意のドメインを選択します。 FQDN署名は選択せず、選択しないでください。
最初の部分は、署名名 Backdoor.bladabindi後半は、 FQDN あなたがテストするために使用する必要がある部分です。
たとえば、Backdoor.bladabindi:flexin.duckdns.org 必要な唯一の部分は flexin.duckdns.orgです.
8.1ので Nslookup firewall をOS実行すると、パロアルト シンクホール IP
が9.0 で表示されますが、アドレスは表示されません。 これは、応答がアドレスではなく cname であるためです。
>set 型 = cname を入力すると、次のようになります。
ご覧のとおり、 DNS 要求は sinkhole.paloaltonetworks.com の Cname を返します。
IP あなたが示すためにアドレスが必要な場合は、あなた自身の シンクホール IP アドレスまたはループバックアドレスのいずれかを使用することをお勧めします。
9.0 および 9.1 パロアルトネットワークス DNS の署名または DNS Security サービスはシンクホールアドレスに解決されません IP 。 Cname のみが解決され、それを表示するように nslookup を設定した場合に限ります。
要求はシンクホールされ、ブロックされますが、アドレスは解決されません IP 。
ループバックアドレスまたは返品を選択したアドレスに設定した場合、そのアドレスになり、リクエストはシンクホールされます。