DNS 天坑概述
DNS 沉洞功能使您能够通过将域解析到沉洞服务器或拒绝 DNS 请求来阻止对不允许的域的 DNS 请求。
您可以在 SRX 系列防火墙上配置 DNS 过滤,以识别对不允许的域的 DNS 请求。
从 Junos OS 20.4 R1 版开始,您可以在 vSRX 虚拟防火墙实例和除 SRX 5000 系列设备之外的所有 SRX 系列防火墙上配置 DNS 过滤。Junos OS 21.1 R1 版中引入了对在 SRX 5000 系列设备上配置 DNS 过滤的支持。
确定不允许的域的 DNS 请求后,可以执行以下操作之一:
-
通过发送包含 SRX 系列防火墙上托管的沉洞服务器的 IP 地址或完全限定域名 (FQDN) 的 DNS 响应,阻止对不允许的域的访问。这可确保当客户端尝试将流量发送到不允许的域时,流量将改为转到 sinkhole 服务器。
-
记录 DNS 请求并拒绝访问。
已知恶意域的 DNS 请求根据查询类型 (QTYPE) 进行处理。类型 – A、AAAA、MX、CNAME、TXT、SRV 和 ANY 的 DNS 查询将导致天坑操作,并将单独计数和报告。其他类型的 DNS 查询只会在与恶意域匹配时登录(然后允许通过),并一起报告为类型“misc”。
-
DNS sinkhole 功能仅适用于瞻博网络 ATP 云高级许可证。
-
沉洞服务器可以防止不适当的用户进一步访问不允许的域,也可以在允许访问时采取任何其他操作。下沉洞服务器操作不受 DNS 过滤功能控制。您必须单独配置沉洞服务器操作。
好处
-
将不允许的域的 DNS 请求重定向到天坑服务器,并阻止操作系统的任何人访问不允许的域。
-
通过 SecIntel 源为不允许的域提供内联阻止。
-
帮助识别网络中受感染的主机。
流程
DNS Sinkhole 的逻辑拓扑如图 1 所示。
使用 DNS Sinkhole 功能识别网络中受感染主机的高级工作流如下:
| 步 |
描述 |
|---|---|
| 1 |
客户端为错误的域服务器发送 DNS 请求。 |
| 2 |
SRX 系列防火墙首先向企业 DNS 服务器查询 domian。如果 DNS 查询未知,企业 DNS 服务器会将请求转发到公共 DNS 根服务器。 |
| 3 |
配置了瞻博网络 ATP 云策略的 SRX 系列防火墙将未知 DNS 查询从企业 DNS 服务器流式传输到瞻博网络 ATP 云进行检查。 |
| 4 |
Juiper ATP Cloud 提供每租户 (LSYS/TSYS) 域源,例如向 SRX 系列防火墙提供的允许列表 DNS 源、自定义 DNS 源和全局 DNS 源。 瞻博网络 ATP 云从第三方来源收集 FQDN 信息,并从瞻博网络威胁实验室收集其全球 DNS 源。客户可以通过 OpenAPI 发布自己的自定义 DNS 源。 |
| 5 |
SRX 系列防火墙从 ATP 云下载 DNS 域源,并对匹配的域应用下沉洞、阻止(丢弃/关闭)、允许或推荐等操作。
注意:
默认情况下,SRX 系列防火墙使用默认沉洞服务器响应不允许的域的 DNS 查询。 |
| 6 |
在此示例中,SRX 系列防火墙配置了下沉洞操作。瞻博网络 ATP 云将恶意域服务器识别为恶意域后,SRX 系列防火墙会使用自己的沉洞 IP 地址响应对恶意域服务器的查询。 |
| 7 |
客户端尝试与错误的域服务器通信,但改为连接到 SRX 系列防火墙上托管的汇洞 IP 地址。 |
| 8 |
连接到汇洞 IP 地址的受感染客户端将被识别、添加到受感染主机源中并隔离。系统管理员可以通过在威胁和流量日志中搜索天坑 IP 地址来识别所有尝试与沉洞 IP 地址通信的客户端。 |