DNS DGA 和隧道检测详细信息
要访问此页面,请单击监控> DNS。
您可以查看有关 DNS DGA 和隧道检测的详细信息。
Dga
您可以在 DGA 选项卡中执行以下操作:
-
查看有关基于 DGA 的检测的详细信息。参见 表1。
-
查看威胁来源,如果域有C&C命中。单击带有 DGA 判定的域名以查看威胁来源。
-
报告误报。选择此选项可向瞻博网络发送报告,告知误报。瞻博网络将对该报告进行调查;但是,这不会改变判决。
-
将 DGA 检测导出为 CSV 文件,以便根据需要查看和分析导出的 DGA 检测。可以一次导出所有检测,也可以导出特定时间跨度的所有检测。
-
选择时间跨度以查看特定时间段的 DGA 检测。
领域 |
描述 |
---|---|
域 |
显示发生 DGA 命中的域名。 |
DNS 记录类型 |
显示 DNS 记录类型。 示例:A(主机地址)、CNAME(别名的规范名称)、SRV(服务位置)等。
|
上次命中会话 ID |
显示最近命中域的 ID。 |
上次命中源 IP |
显示最近命中域的源 IP 地址。 |
上次命中目标 IP |
显示最近命中域的目标 IP 地址。 |
总点击数 |
显示域上的总命中数。 |
判决 |
显示由 ATP 云提供的已确认的 DGA 判定。
|
上次命中时间 |
显示最近域命中的日期和时间。 |
隧道
使用隧道选项卡监控 SRX 系列防火墙提供的 DNS 隧道元数据。 表 2 显示了 DNS 隧道元数据。
您可以在隧道选项卡中执行以下操作:
-
查看有关 SRX 系列防火墙提供的 DNS 隧道元数据的详细信息。 表 2 显示了 DNS 隧道元数据。
-
将 DNS 隧道检测导出为 CSV 文件,以便根据需要查看和分析导出的 DNS 隧道检测。可以一次导出所有检测,也可以导出特定时间跨度的所有检测。
-
选择时间跨度以查看特定时间段的 DNS 隧道检测。
-
查看有关 DNS 隧道的详细信息。单击域名。见 表3
- 从 DNS 隧道页面下载 PCAP。选择一个客户端,然后单击下载 PCAP以下载 数据包捕获详细信息并查看有关网络的详细信息。
领域 |
描述 |
---|---|
域 |
显示域名 |
DNS 记录类型 |
显示 DNS 记录类型。 示例:A(主机地址)、CNAME(别名的规范名称)、SRV(服务位置)等。
|
上次命中会话 ID |
显示最近命中域的会话 ID。 |
隧道数据 |
显示 SRX 系列防火墙共享的隧道信息。 |
上次命中源 IP |
显示最近命中域的源 IP 地址。 |
上次命中目标 IP |
显示最近命中域的目标 IP 地址。 |
总点击数 |
显示命中的会话总数。 |
上次命中时间 |
显示最近域命中的日期和时间。 |
领域 |
描述 |
---|---|
客户端 IP 地址 |
显示已联系 DNS 域的主机的 IP 地址。 |
设备名称 |
显示与 DNS 域联系的 SRX 系列防火墙的名称。 |
传入字节数 |
显示 DNS 隧道的传入字节数。 |
传出字节数 |
显示来自 DNS 隧道的传出字节数。 |
上次出现时间 |
最近 DNS 隧道命中的日期和时间。 |
Junos OS 21.2R1 及更高版本支持 DNS DGA 和隧道检测。