Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

DNS DGA 和隧道检测详细信息

要访问此页面,请单击监控> DNS。

您可以查看有关 DNS DGA 和隧道检测的详细信息。

Dga

您可以在 DGA 选项卡中执行以下操作:

  • 查看有关基于 DGA 的检测的详细信息。参见 表1

  • 查看威胁来源,如果域有C&C命中。单击带有 DGA 判定的域名以查看威胁来源。

  • 报告误报。选择此选项可向瞻博网络发送报告,告知误报。瞻博网络将对该报告进行调查;但是,这不会改变判决。

  • 将 DGA 检测导出为 CSV 文件,以便根据需要查看和分析导出的 DGA 检测。可以一次导出所有检测,也可以导出特定时间跨度的所有检测。

  • 选择时间跨度以查看特定时间段的 DGA 检测。

表 1:DGA 选项卡上的字段

领域

描述

显示发生 DGA 命中的域名。

DNS 记录类型

显示 DNS 记录类型。

示例:A(主机地址)、CNAME(别名的规范名称)、SRV(服务位置)等。

  • A— DNS 记录用于将域或子域指向 IP 地址。
  • CNAME — DNS 记录用于将域或子域指向另一个主机名。
  • SRV — DNS 记录用于将域或子域指向服务位置。

上次命中会话 ID

显示最近命中域的 ID。

上次命中源 IP

显示最近命中域的源 IP 地址。

上次命中目标 IP

显示最近命中域的目标 IP 地址。

总点击数

显示域上的总命中数。

判决

显示由 ATP 云提供的已确认的 DGA 判定。

  • 清洁
  • Dga

上次命中时间

显示最近域命中的日期和时间。

隧道

使用隧道选项卡监控 SRX 系列防火墙提供的 DNS 隧道元数据。 表 2 显示了 DNS 隧道元数据。

您可以在隧道选项卡中执行以下操作:

  • 查看有关 SRX 系列防火墙提供的 DNS 隧道元数据的详细信息。 表 2 显示了 DNS 隧道元数据。

  • 将 DNS 隧道检测导出为 CSV 文件,以便根据需要查看和分析导出的 DNS 隧道检测。可以一次导出所有检测,也可以导出特定时间跨度的所有检测。

  • 选择时间跨度以查看特定时间段的 DNS 隧道检测。

  • 查看有关 DNS 隧道的详细信息。单击域名。见 表3

  • 从 DNS 隧道页面下载 PCAP。选择一个客户端,然后单击下载 PCAP以下载 数据包捕获详细信息并查看有关网络的详细信息。
表 2:隧道选项卡上的字段

领域

描述

显示域名

DNS 记录类型

显示 DNS 记录类型。

示例:A(主机地址)、CNAME(别名的规范名称)、SRV(服务位置)等。

  • A— 用于将域或子域指向 IP 地址的 DNS 记录。
  • CNAME - 用于将域或子域指向另一个主机名的 DNS 记录。
  • SRV - 用于将域或子域指向服务位置的 DNS 记录。

上次命中会话 ID

显示最近命中域的会话 ID。

隧道数据

显示 SRX 系列防火墙共享的隧道信息。

上次命中源 IP

显示最近命中域的源 IP 地址。

上次命中目标 IP

显示最近命中域的目标 IP 地址。

总点击数

显示命中的会话总数。

上次命中时间

显示最近域命中的日期和时间。

表 3:DNS 隧道页面上的字段

领域

描述

客户端 IP 地址

显示已联系 DNS 域的主机的 IP 地址。

设备名称

显示与 DNS 域联系的 SRX 系列防火墙的名称。

传入字节数

显示 DNS 隧道的传入字节数。

传出字节数

显示来自 DNS 隧道的传出字节数。

上次出现时间

最近 DNS 隧道命中的日期和时间。

注意:

Junos OS 21.2R1 及更高版本支持 DNS DGA 和隧道检测。