Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

DNS DGA 및 터널링 탐지 세부 정보

이 페이지에 액세스하려면 Monitor > DNS(DNS 모니터링)를 클릭합니다.

DNS, DGA 및 터널 탐지에 대한 세부 정보를 볼 수 있습니다.

증권 시세 표시기

DGA 탭에서 다음 작업을 수행할 수 있습니다.

  • DGA 기반 탐지에 대한 세부 정보를 봅니다. 표 1을 참조하십시오.

  • 도메인에 대한 C&C 적중이 있는 경우 위협 소스를 확인합니다. DGA 판정이 있는 도메인 이름을 클릭하여 위협 소스를 확인합니다.

  • 오탐을 보고합니다. 주니퍼 네트웍스에 오탐을 알리는 보고서를 보내려면 이 옵션을 선택합니다. 주니퍼가 해당 보고서를 조사합니다. 그러나 이것은 평결을 변경하지 않습니다.

  • DGA 탐지를 CSV 파일로 내보내 필요에 따라 내보낸 DGA 탐지를 보고 분석합니다. 모든 탐지를 한 번에 내보내거나 특정 시간 범위에 대해 내보낼 수 있습니다.

  • 특정 기간에 대한 DGA 감지를 보려면 시간 범위를 선택합니다.

표 1: DGA 탭의 필드

묘사

도메인

DGA 적중이 발생한 도메인 이름을 표시합니다.

DNS 레코드 유형

DNS 레코드 종류를 표시합니다.

예: A(호스트 주소), CNAME(별칭의 정식 이름), SRV(서비스 위치) 등입니다.

  • A— DNS 레코드는 도메인 또는 하위 도메인이 IP 주소를 가리키도록 하는 데 사용됩니다.
  • CNAME - DNS 레코드는 도메인 또는 하위 도메인이 다른 호스트 이름을 가리키도록 하는 데 사용됩니다.
  • SRV - DNS 레코드는 도메인 또는 하위 도메인이 서비스 위치를 가리키도록 하는 데 사용됩니다.

Last Hit Session ID(마지막 히트 세션 ID)

가장 최근 적중된 도메인의 ID를 표시합니다.

Last Hit Source IP(마지막 히트 소스 IP)

가장 최근 도메인 적중의 소스 IP 주소를 표시합니다.

Last Hit Destination IP(마지막 히트 대상 IP)

가장 최근에 적중된 도메인의 대상 IP 주소를 표시합니다.

총 히트 수

도메인의 총 히트 수를 표시합니다.

평결

ATP 클라우드에서 제공한 확인된 DGA 판정을 표시합니다.

  • 깨끗이
  • 증권 시세 표시기

마지막 히트 시간

가장 최근 도메인 적중의 날짜 및 시간을 표시합니다.

터널

터널 탭을 사용하여 SRX 시리즈 방화벽에서 제공하는 DNS 터널링 메타데이터를 모니터링할 수 있습니다. 표 2 에는 DNS 터널링 메타데이터가 표시되어 있습니다.

터널 탭에서 다음 작업을 수행할 수 있습니다.

  • SRX 시리즈 방화벽에서 제공하는 DNS 터널링 메타데이터에 대한 세부 정보를 확인해 보십시오. 표 2 에는 DNS 터널링 메타데이터가 표시되어 있습니다.

  • DNS 터널 탐지를 CSV 파일로 내보내 필요에 따라 내보낸 DNS 터널링 탐지를 보고 분석합니다. 모든 탐지를 한 번에 내보내거나 특정 시간 범위에 대해 내보낼 수 있습니다.

  • 특정 기간 동안의 DNS 터널링 탐지를 보려면 시간 범위를 선택합니다.

  • DNS 터널에 대한 자세한 정보를 봅니다. 도메인 이름을 클릭합니다. 표 3 참조

  • DNS Tunnel(DNS 터널) 페이지에서 PCAP를 다운로드합니다. 클라이언트를 선택하고 Download PCAP(PCAP 다운로드 )를 클릭하여 패킷 캡처 세부 정보를 다운로드하고 네트워크에 대한 자세한 정보를 확인합니다.
표 2: 터널 탭의 필드

묘사

도메인

도메인 이름을 표시합니다

DNS 레코드 유형

DNS 레코드 종류를 표시합니다.

예: A(호스트 주소), CNAME(별칭의 정식 이름), SRV(서비스 위치) 등입니다.

  • A— 도메인 또는 하위 도메인이 IP 주소를 가리키는 데 사용되는 DNS 레코드입니다.
  • CNAME - 도메인 또는 하위 도메인이 다른 호스트 이름을 가리키도록 하는 데 사용되는 DNS 레코드입니다.
  • SRV: 도메인 또는 하위 도메인이 서비스 위치를 가리키도록 하는 데 사용되는 DNS 레코드입니다.

Last Hit Session ID(마지막 히트 세션 ID)

가장 최근 도메인 적중의 세션 ID를 표시합니다.

터널 데이터

SRX 시리즈 방화벽이 공유하는 터널 정보를 표시합니다

Last Hit Source IP(마지막 히트 소스 IP)

가장 최근 도메인 적중의 소스 IP 주소를 표시합니다.

Last Hit Destination IP(마지막 히트 대상 IP)

가장 최근에 적중된 도메인의 대상 IP 주소를 표시합니다.

총 히트 수

적중된 총 세션 수를 표시합니다.

마지막 히트 시간

가장 최근 도메인 적중의 날짜 및 시간을 표시합니다.
표 3: DNS Tunnel(DNS 터널) 페이지의 필드

묘사

클라이언트 IP 주소

DNS 도메인에 접속한 호스트의 IP 주소를 표시합니다.

장치 이름

DNS 도메인과 접촉하는 SRX 시리즈 방화벽의 이름을 표시합니다

들어오는 바이트

DNS 터널로 들어오는 바이트 수를 표시합니다.

발신 바이트

DNS 터널에서 나가는 바이트 수를 표시합니다.

마지막으로 본 날짜

가장 최근에 DNS 터널이 적중한 날짜 및 시간입니다.
메모:

DNS DGA 및 터널 탐지는 Junos OS 21.2R1 이상 릴리스에서 지원됩니다.