*.10.in-addr.arpa批量反向解析是平台正常运维行为,并非恶意 DNS 隧道:x.x.x.10.in-addr.arpa查询请求;怎么不让平台发起DNS协议解析,我看大部分是拓扑发现组件的后台进程,是不是关闭拓扑发现就可以
你提到的这个情况,通常是指第三方安全平台监测到iMC服务器有异常的DNS请求行为,并将其标记为潜在的“DNS隧道”通信。
这通常不是iMC本身存在恶意行为,而更可能是其正常的网络功能触发了安全设备的告警规则。
iMC作为网络管理平台,会因以下正常功能向设备或DNS服务器发起查询:
设备纳管与识别:iMC会通过DNS解析设备发送的域名或主机名,以识别和纳管网络设备。
配置了基于域名的对象:如果在防火墙上配置了基于域名的对象组,防火墙自身会向DNS服务器请求解析,这也会产生DNS流量。
Portal认证:在Portal认证流程中,终端设备也会向配置的DNS服务器发起域名解析请求。
系统或第三方组件:iMC服务器操作系统或其上运行的其他软件,也可能产生DNS查询。
安全设备可能会将这些正常的、持续的DNS查询流量,误判为用于数据外传的“DNS隧道”行为。
建议按以下步骤排查和处理:
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
怎么不让平台发起DNS协议解析,我看大部分是拓扑发现组件的后台进程,是不是关闭拓扑发现就可以