DNS DGA 和隧道检测详细信息
要访问此页面,请单击。
您可以查看有关 DNS、DGA 和隧道检测的详细信息。
DGA
您可以在 DGA 选项卡中执行以下作:
-
查看有关基于 DGA 的检测的详细信息。请参阅 表 1。
-
如果某个域出现 C&C 命中,请查看威胁来源。单击带有 DGA 判定的域名,查看威胁来源。
-
报告误报。选择此选项可向瞻博网络发送报告,通知误报。瞻博网络将对该报告进行调查;但是,这不会改变判决。
-
将 DGA 检测导出为 CSV 文件,以便根据需要查看和分析导出的 DGA 检测。您可以一次导出所有检测,也可以在特定时间跨度内导出所有检测。
-
选择时间跨度以查看特定时间段内的 DGA 检测。
| 田 |
描述 |
|---|---|
| 域 |
显示发生 DGA 命中的域名。 |
| DNS 记录类型 |
显示 DNS 记录类型。 示例:A(主机地址)、CNAME(别名的规范名称)、SRV(服务位置)等。
|
| 上次命中会话 ID |
显示最近域命中的 ID。 |
| 最后命中的源 IP |
显示最近域命中的源 IP 地址。 |
| 最后命中的目标 IP |
显示最近域命中的目标 IP 地址。 |
| 总点击数 |
显示域上的总点击数。 |
| 判决 |
显示 ATP 云提供的已确认 DGA 判定。
|
| 上次命中时间 |
显示最近一次域命中的日期和时间。 |
隧道
使用“隧道”选项卡可以监控 SRX 系列防火墙提供的 DNS 隧道元数据。 表 2 显示了 DNS 隧道元数据。
您可以在 Tunnel 选项卡中执行以下作:
-
查看有关 SRX 系列防火墙提供的 DNS 隧道元数据的详细信息。 表 2 显示了 DNS 隧道元数据。
-
将 DNS 隧道检测导出为 CSV 文件,以便根据需要查看和分析导出的 DNS 隧道检测。您可以一次导出所有检测,也可以在特定时间跨度内导出所有检测。
-
选择时间跨度以查看特定时间段内的 DNS 隧道检测。
-
查看有关 DNS 隧道的详细信息。点击域名。参见 表 3
- 从 DNS 隧道页面下载 PCAP。选择客户端,然后单击 下载 PCAP ,下载数据包捕获详细信息并查看有关网络的更多信息。
| 田 |
描述 |
|---|---|
| 域 |
显示域名 |
| DNS 记录类型 |
显示 DNS 记录类型。 示例:A(主机地址)、CNAME(别名的规范名称)、SRV(服务位置)等。
|
| 上次命中会话 ID |
显示最近域命中的会话 ID。 |
| 隧道数据 |
显示由 SRX 系列防火墙共享的隧道信息 |
| 最后命中的源 IP |
显示最近域命中的源 IP 地址。 |
| 最后命中的目标 IP |
显示最近域命中的目标 IP 地址。 |
| 总点击数 |
显示命中的会话总数。 |
| 上次命中时间 |
显示最近一次域命中的日期和时间。 |
| 田 |
描述 |
|---|---|
| 客户端 IP 地址 |
显示已与 DNS 域联系的主机的 IP 地址。 |
| 设备名称 |
显示与 DNS 域接触的 SRX 系列防火墙的名称 |
| 传入字节 |
显示 DNS 隧道的传入字节数。 |
| 传出字节 |
显示来自 DNS 隧道的传出字节数。 |
| 最后一次出现 |
最近一次 DNS 隧道命中的日期和时间。 |
Junos OS 21.2R1 及更高版本支持 DNS DGA 和隧道检测。