无
无
终端访问恶意域名,客户需要将该dns请求拦截。域名为***.***。
(1)IPS自定义特征库:
alert udp any any -> any 53 (msg:" DNS Query for ***.*** "; content:"adnetwork33|0a|redirectme|03|net"; nocase; classtype:trojan-activity; sid: 7002821; rev:1;)
上述信息放在一个txt,然后命名后缀改成.rules
(2)入侵防御--特征--导入snort特征库;
(3)新增配置文件, 针对这个手工添加的IPS特征,在新增配置文件里更改一下预定义动作,设置为丢弃。最后在安全策略中调用。
(4)测试后,产生相应的威胁日志,并阻断该dns请求。
见上分析
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作