防火墙产生大量，误告警木马Teamtnt_DNS请求

误报加白吧

IPS防护了

您好，从你提供的日志来看，这是一个典型的基于 DNS 特征的误报，大概率是因为终端的正常 DNS 请求特征与木马 Teamtnt 的特征库规则发生了冲突

不要在全局开启所有高风险规则，而是根据业务需求，分区域、分用户组部署 IPS 策略。

根据您提供的日志截图，您遇到的“木马Teamtnt_DNS请求”​ 和 “木马_DarkKomet”​ 告警，通常是华三防火墙入侵防御特征库（IPS/IDS）针对特定DNS查询模式的匹配。这类告警在特定场景下（如使用某些公共DNS、软件更新、CDN服务、物联网设备行为）容易产生误报。
以下是系统性分析和解决方案，您可以根据实际情况选择最合适的方法处理。
一、 问题根源分析
攻击特征匹配：防火墙的IPS特征库中定义了 Teamtnt和 DarkKomet等木马的C&C（命令与控制）通信指纹，这些指纹可能与某些合法软件、云服务、CDN节点或特定DNS解析模式“撞车”。
源IP分析：源地址 59.202.148.93是一个位于中国的公网IP。它可能是一个：
被黑客利用的傀儡主机（肉鸡）。
某些CDN、云服务或代理服务的出口节点，其流量模式与木马特征相似。
攻击目标：目的地址 172.23.0.80是您的内网服务器。它可能对外发起了DNS查询，而查询的响应包（从公网IP 59.202.148.93返回）触发了防火墙的检测规则。
二、 解决方案（从推荐到次选）
以下方法从最安全、最精准到最宽松排列。建议按顺序尝试。
方法1：【推荐】创建例外策略（放行特定源/目的）
如果确认 172.23.0.80是您的合法服务器，且与 59.202.148.93的通信是业务所需，您可以通过创建IPS例外策略，精准地让防火墙忽略这对IP之间的该攻击特征。
操作路径（Web界面）：
策略​ → 入侵防御​ → 例外策略。
新建​ 一条例外策略：
攻击名称：输入 Teamtnt和 DarkKomet。
动作：选择 允许。
源/目的：
源IP地址：59.202.148.93
目的IP地址：172.23.0.80
生效时间：设置为永久。
应用​ 并提交策略。
命令行（CLI）实现：
system-view
# 创建例外策略
ips exception-policy
# 针对木马Teamtnt_DNS请求（攻击ID: 47413）
rule 0
attack-id 47413
action pass
source-ip 59.202.148.93 32
dest-ip 172.23.0.80 32
quit
# 针对木马_DarkKomet（攻击ID: 46671）
rule 1
attack-id 46671
action pass
source-ip 59.202.148.93 32
dest-ip 172.23.0.80 32
quit
quit
方法2：【最彻底】全局禁用该攻击特征
如果经过全面排查，确认您全网业务都不会涉及此特征，可以全局禁用这两个特征。但此操作有安全风险，需谨慎评估。
操作路径（Web界面）：
策略​ → 入侵防御​ → 防御配置。
在特征库过滤框中搜索 Teamtnt和 DarkKomet。
找到对应特征（攻击ID分别为 47413和 46671），将其动作从“告警”或“阻断”修改为 允许。
命令行（CLI）实现：
system-view
ips
# 关闭特定攻击特征
signature override
attack-id 47413 action pass # Teamtnt_DNS请求
attack-id 46671 action pass # DarkKomet
quit
quit
方法3：调整应用识别策略
由于告警针对DNS应用，您可以检查并调整针对DNS应用的IPS检测策略。但DNS是基础协议，不建议全局放宽。
操作路径：
策略​ → 安全策略。
找到与 Local到 Untrust相关，且允许DNS访问的策略。
点击编辑 → 高级设置​ → 入侵防御。
查看并调整策略中关联的IPS配置文件，或为该策略单独创建一个宽松的IPS配置文件。
方法4：【临时】升级特征库
有时，误报是由于旧版本特征库的规则过于宽泛引起的。升级到最新版本可能修复此问题。
操作路径：
系统​ → 升级中心。
检查“特征库升级”，确保“入侵防御特征库”和“应用识别特征库”为最新版本。
如果不是最新，请连接互联网后立即升级。
三、 关键排查步骤（强烈建议在操作前执行）
在应用上述任何解决方案前，请先完成以下排查，以明确误报原因，避免“误杀”真实威胁。
定位内网主机：
登录到内网服务器 172.23.0.80。
使用以下命令检查在告警时间点（16:57）前后的网络连接和DNS查询：
# Windows
netstat -ano | findstr :53
# Linux
ss -tunp | grep :53
检查该服务器的DNS解析设置和近期解析日志。
分析攻击源：
在搜索引擎或威胁情报平台（如微步、VirusTotal）查询IP 59.202.148.93的信誉。这有助于判断它是恶意IP还是误报的CDN节点。
扩大分析范围：
在防火墙上，查看在相同时间段内，是否有其他内网IP也触发了相同的告警。
查询命令：display logbuffer | include “Teamtnt|DarkKomet”。
如果只有 172.23.0.80这一台服务器触发，则问题很可能与该服务器的特定行为有关。
如果大量内网主机都触发，则更可能是特征库误报或网络中存在共性问题。
四、 误报验证与后续优化
验证误报：
在服务器 172.23.0.80上安装杀毒软件进行全盘扫描，确保其未被感染。
监控应用例外策略后，服务器与 59.202.148.93的通信是否正常，是否还有其他异常告警。
优化日志：
为避免未来被大量误报日志淹没，您可以在日志设置中，为“入侵防御”模块设置日志过滤，暂时不记录动作为允许的日志，或只记录风险等级为严重的日志。
五、 总结与建议
首选方案：采用【方法1：创建例外策略】。这是最安全、最精准的方式，只对您确认的、特定的IP对放行特定的攻击特征，不影响整体防护。
根本解决：联系华三技术支持，提供以下信息，请求他们分析特征误报的原因，并在后续特征库更新中修复：
告警的截图或详细日志。
防火墙的软件和特征库版本 (display version)。
您的排查结论（如服务器扫描结果、IP信誉查询结果）。
通过以上步骤，您可以有效地消除这些误告警，同时确保防火墙的安全防护能力不受损害。