如何在 DNS 9.0 和 9.1 上验证沉降

如何在 DNS 9.0 和 9.1 上验证沉降

39421
Created On 03/31/20 17:31 PM - Last Modified 03/26/21 18:14 PM


Objective


在 PAN-OS 9.0 之前,执行 DNS 与 Palo Alto 网络签名匹配的恶意域的查询 DNS 将解决到沉井 IP 地址:75.5.65.111。

从 PAN-OS 9.0 继续执行 DNS 查询到与 Palo Alto 网络签名或服务匹配的恶意域 DNS DNS Security 名不会解决沉井 IP 地址。

当 DNS 执行对恶意域的查找时, CNAME 这将返回而不是一个 A 或 AAAA 记录这就是为什么当您查看 DNS 沉孔 IPv4 Palo Alto 网络沉井 IP (sinkhole.paloaltonetworks.com)时,您会看到旧 OS、Palo Alto 网络沉井 IP (75.5.65.111)

当从 8.线移动时 OS ,可能会混淆。 我们已经习惯了看到帕洛阿尔托沉井地址。 (75.5.65.111)

 

Procedure


要测试 DNS 沉井功能,最好 URL 从最新发布的恶意网址列表中获取新的信息。
要获取此列表,请转到"设备"选项卡并选择D ynamic 更新,并检查当前已安装内容的发布说明 AV 。
用户添加的图像
该列表将显示在一个新的窗口中,只需向下滚动列表,直到看到新的间谍软件签名。
用户添加的图像
从列表中选择任何域。 请确保您只选择 FQDN 签名,而不是签名。
第一部分是签名名称 后门. 布拉达宾迪下半场是 FQDN 你需要用来测试的部分。
例如后门.布拉达宾迪:灵活.达肯斯.org你唯一需要的部分是 flexin.duckdns.org。

当执行Nslookup 与 firewall OS 8.1, 我们看到帕洛阿尔托沉井 IP
用户添加的图像
现在与9.0,我们看到非权威的答案, 但没有地址。 这是因为响应是 cname 而不是地址。
用户添加的图像
如果我们键入>集类型+cname,我们会获得以下。
用户添加的图像
正如您所看到的, DNS 请求现在返回 sinkhole.paloaltonetworks.com 的 Cname。


如果您需要一个 IP 地址来显示它建议使用您自己的一个 水槽 IP 地址或回循环地址。
用户添加的图像
在 9.0 和 9.1 帕洛阿尔托网络 DNS 签名或 DNS Security 服务不决心沉井 IP 地址。 它只会解决一个C名,只有当你设置nslookup来显示它。
请求仍将被沉入并阻止,只是无法解决 IP 地址问题。

如果设置为回循环地址或您选择的地址,则返回该地址仍将是该地址,并且请求仍将被沉入沉入。

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPN8CAO&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language