无
无
现场要求只能访问内部域名,而这些域名不存在.com或.***.***之类的,但监控端发现终端有这种DNS请求(域名带有.com和.***.***的请求),现场需要在防火墙侧将其拦截阻断。
(1)IPS自定义特征库:
drop udp any any -> any 53 (msg:"DNS Query for *.com"; content:"|03|com"; classtype:bad-unknown; sid:7002821; rev:1;)
drop udp any any -> any 53 (msg:"DNS Query for *.***.***"; content:"|03|com|02|cn"; classtype:bad-unknown; sid:7002822; rev:1;)
上述信息放在一个txt,然后命名后缀改成.rules
(2)入侵防御--特征--导入snort特征库
(3)新增配置文件
(4)安全策略下选择该入侵防御配置文件。
参考上面分析
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作