Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

DNS Sinkhole 概述

DNS 沉洞功能允许您通过将域解析为沉洞服务器或拒绝 DNS 请求来阻止对不允许的域的 DNS 请求。

您可以在 SRX 系列防火墙上配置 DNS 过滤,以识别不允许域的 DNS 请求。

注意:

从 Junos OS 20.4 R1 版开始,您可以在 vSRX 虚拟防火墙实例和所有 SRX 系列防火墙(SRX 5000 系列设备除外)上配置 DNS 过滤。Junos OS 21.1 R1 版中引入了对在 SRX 5000 系列设备上配置 DNS 过滤的支持。

识别出不允许的域的 DNS 请求后,您可以执行以下任一操作:

  • 通过发送包含 SRX 系列防火墙上托管的沉洞服务器的 IP 地址或完全限定域名 (FQDN) 的 DNS 响应来阻止对不允许的域的访问。这可以确保当客户端尝试将流量发送到不允许的域时,流量将转到沉洞服务器。

  • 记录 DNS 请求并拒绝访问。

已知恶意域的 DNS 请求按查询类型 (QTYPE) 进行处理。类型为 A、AAAA、MX、CNAME、TXT、SRV 和 ANY 的 DNS 查询将导致沉洞操作,并将单独计数和报告。其他类型的 DNS 查询将仅登录到与错误域匹配(然后允许通过)并一起报告为类型“misc”。

注意:
  • DNS 沉洞功能仅在瞻博网络 ATP 云许可证下可用。有关特定于功能的许可信息,请参阅 ATP 云的软件许可证

  • 沉洞服务器可以阻止不适当的用户进一步访问不允许的域,也可以在允许访问的同时执行任何其他操作。天坑服务器操作不受 DNS 过滤功能的控制。您必须单独配置 sinkhole 服务器操作。

好处

  • 将对不允许的域的 DNS 请求重定向到沉洞服务器,并阻止系统操作系统的任何人访问不允许的域。

  • 通过 SecIntel 源为不允许的域提供内联阻止。

  • 帮助识别网络中受感染的主机。

工作流程

DNS Sinkhole 的逻辑拓扑如 图 1 所示。

图 1:DNS 沉洞 DNS Sinkhole

使用 DNS 沉洞功能识别网络中受感染主机的高级工作流如下:

表 1:使用 DNS Sinkhole 识别受感染的主机

描述

1

客户端向坏域服务器发送 DNS 请求。

2

SRX 系列防火墙首先在企业 DNS 服务器中查询 domian。如果 DNS 查询未知,则企业 DNS 服务器会将请求转发到公共 DNS 根服务器。

3

配置了瞻博网络 ATP 云策略的 SRX 系列防火墙将未知 DNS 查询从企业 DNS 服务器流式传输到瞻博网络 ATP 云进行检测。

4

瞻博网络 ATP 云向 SRX 系列防火墙提供按租户 (LSYS/TSYS) 域源,例如允许列表 DNS 源、自定义 DNS 源和全局 DNS 源。

瞻博网络 ATP 云从第三方来源和瞻博网络威胁实验室收集 FQDN 信息,用于其全球 DNS 源。客户可以通过 OpenAPI 发布自己的自定义 DNS 源。

5

SRX 系列防火墙从 ATP 云下载 DNS 域源,并对匹配的域应用沉洞、阻止(丢弃/关闭)、允许或建议等操作。

  • 对于列入许可名单的源,将记录 DNS 请求并允许访问。

  • 对于自定义 DNS 源,sinkholeblock允许根据匹配域的威胁级别执行 drop 或 close permitrecommended 和 操作。

注意:

默认情况下,SRX 系列防火墙会使用默认沉洞服务器响应不允许的域的 DNS 查询。

6

在此示例中,SRX 系列防火墙配置了沉洞操作。瞻博网络 ATP 云将恶意域服务器识别为恶意域后,SRX 系列防火墙会使用自己的沉洞 IP 地址响应对坏域服务器的查询。

7

客户端尝试与错误的域服务器通信,但连接到托管在 SRX 系列防火墙上的沉洞 IP 地址。

8

连接到沉洞 IP 地址的受感染客户端将被识别,添加到受感染的主机信息源中,并被隔离。系统管理员可以通过在威胁和流量日志中搜索天坑 IP 地址来识别所有尝试与天坑 IP 地址通信的客户端。