DNS 보안이 DNS 터널링 테스트 트래픽을 감지하지 못하는 이유는 무엇인가요?
4279
Created On 07/26/24 20:39 PM - Last Modified 01/07/25 11:57 AM
Question
DNS 터널링을 감지할 수 있는 두 가지 시그니처(109001001 & 109001002)가 있습니다. (전체 위협 ID 목록은 이 링크에서 찾을 수 있습니다.)
DNS 보안이 DNS 터널링 테스트 트래픽을 감지하지 못하는 이유는 무엇인가요?
Environment
- DNS 보안 라이센스
- PAN-OS 9.1 이상
Answer
DNS 보안이 테스트에서 생성된 DNS 터널링 트래픽을 감지하지 못한 한 가지 이유는 해당 감지기가 실제 DNS 터널링 공격에 최적화되어 있고 거짓 긍정을 방지하기 위한 몇 가지 규칙이 구현되어 있기 때문일 수 있습니다.
이렇게 하면 수년간 존재했던 귀하의 도메인(귀하의 도메인을 사용하여 테스트를 수행한 경우)이 DNS 터널링 범주로 감지되지 않습니다. 추가 테스트를 수행하려면 새 도메인을 등록하여 DNS 터널링 테스트에 사용할 수 있습니다.