DNS Sinkhole 概述
DNS 沉洞功能允许您通过将域解析为沉洞服务器或拒绝 DNS 请求来阻止对不允许的域的 DNS 请求。
您可以在 SRX 系列防火墙上配置 DNS 过滤,以识别不允许域的 DNS 请求。
从 Junos OS 20.4 R1 版开始,您可以在 vSRX 虚拟防火墙实例和所有 SRX 系列防火墙(SRX 5000 系列设备除外)上配置 DNS 过滤。Junos OS 21.1 R1 版中引入了对在 SRX 5000 系列设备上配置 DNS 过滤的支持。
识别出不允许的域的 DNS 请求后,您可以执行以下任一操作:
-
通过发送包含 SRX 系列防火墙上托管的沉洞服务器的 IP 地址或完全限定域名 (FQDN) 的 DNS 响应来阻止对不允许的域的访问。这可以确保当客户端尝试将流量发送到不允许的域时,流量将转到沉洞服务器。
-
记录 DNS 请求并拒绝访问。
已知恶意域的 DNS 请求按查询类型 (QTYPE) 进行处理。类型为 A、AAAA、MX、CNAME、TXT、SRV 和 ANY 的 DNS 查询将导致沉洞操作,并将单独计数和报告。其他类型的 DNS 查询将仅登录到与错误域匹配(然后允许通过)并一起报告为类型“misc”。
-
DNS 沉洞功能仅在瞻博网络 ATP 云许可证下可用。有关特定于功能的许可信息,请参阅 ATP 云的软件许可证。
-
沉洞服务器可以阻止不适当的用户进一步访问不允许的域,也可以在允许访问的同时执行任何其他操作。天坑服务器操作不受 DNS 过滤功能的控制。您必须单独配置 sinkhole 服务器操作。
好处
-
将对不允许的域的 DNS 请求重定向到沉洞服务器,并阻止系统操作系统的任何人访问不允许的域。
-
通过 SecIntel 源为不允许的域提供内联阻止。
-
帮助识别网络中受感染的主机。
工作流程
DNS Sinkhole 的逻辑拓扑如 图 1 所示。
使用 DNS 沉洞功能识别网络中受感染主机的高级工作流如下:
| 步 |
描述 |
|---|---|
| 1 |
客户端向坏域服务器发送 DNS 请求。 |
| 2 |
SRX 系列防火墙首先在企业 DNS 服务器中查询 domian。如果 DNS 查询未知,则企业 DNS 服务器会将请求转发到公共 DNS 根服务器。 |
| 3 |
配置了瞻博网络 ATP 云策略的 SRX 系列防火墙将未知 DNS 查询从企业 DNS 服务器流式传输到瞻博网络 ATP 云进行检测。 |
| 4 |
瞻博网络 ATP 云向 SRX 系列防火墙提供按租户 (LSYS/TSYS) 域源,例如允许列表 DNS 源、自定义 DNS 源和全局 DNS 源。 瞻博网络 ATP 云从第三方来源和瞻博网络威胁实验室收集 FQDN 信息,用于其全球 DNS 源。客户可以通过 OpenAPI 发布自己的自定义 DNS 源。 |
| 5 |
SRX 系列防火墙从 ATP 云下载 DNS 域源,并对匹配的域应用沉洞、阻止(丢弃/关闭)、允许或建议等操作。
注意:
默认情况下,SRX 系列防火墙会使用默认沉洞服务器响应不允许的域的 DNS 查询。 |
| 6 |
在此示例中,SRX 系列防火墙配置了沉洞操作。瞻博网络 ATP 云将恶意域服务器识别为恶意域后,SRX 系列防火墙会使用自己的沉洞 IP 地址响应对坏域服务器的查询。 |
| 7 |
客户端尝试与错误的域服务器通信,但连接到托管在 SRX 系列防火墙上的沉洞 IP 地址。 |
| 8 |
连接到沉洞 IP 地址的受感染客户端将被识别,添加到受感染的主机信息源中,并被隔离。系统管理员可以通过在威胁和流量日志中搜索天坑 IP 地址来识别所有尝试与天坑 IP 地址通信的客户端。 |