串联部署,我们墙做转发,转发内网的所有DNS报文,并Snort配置了自定义的域名拦截特征,用于拦截指定的黑域名
drop udp any any -> any 53 (msg:"DNS Query for ***.***";content:"|04|each|08|tenchier|03|com"; classtype:bad-unknown; sid:7002809; rev:1;)
不涉及
现场出现不定时域名拦截失败的问题
查看防火墙上有源端口53的会话,说明DNS服务器存在端口复用的情况,即请求其它域名的DNS应答报文新建了会话,这个报文的五元组恰好与黑域名的请求DNS报文一致,导致黑域名的DNS请求报文被会话放通,无法走DNS过滤流程,导致黑域名被放通。
利用安全策略阻断源端口为53的流量,阻止源端口53的报文在防火墙上新建会话
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作