僵尸网络数据流过滤器问题用可适应安全工具

网通dns服务器地址  时间:2021-01-22  阅读:()

目录简介背景信息排除故障工作流步骤1:检查动态过滤器数据库步骤2:保证DNS流量交叉此ASA步骤3:检查DNS监听缓存步骤4:测试有流量的僵尸网络数据流过滤器简介本文描述步骤排除故障僵尸网络在可适应安全工具(ASA)的数据流过滤器功能.
关于与僵尸网络数据流过滤器配置的协助,请参阅此此配置指南:配置僵尸网络数据流过滤器.

背景信息僵尸网络数据流过滤器监视器域名服务器(DNS)请求和答复在内部DNS客户端和外部DNS服务器之间.
当DNS答复处理时,域关联与答复根据已知有恶意的域数据库核对.
如果有匹配,对IP地址的任何另外流量现在DNS答复阻塞.
请参阅此图表.
检查动态过滤器数据库.
ASA周期地下载已知有恶意的域和IP地址一个当前数据库.
思科的安全智能操作(SIO)确定域和IP地址在此数据库为恶意软件或其他有恶意的内容服务.

1.
保证DNS流量交叉ASA.
内部网络或一个受感染的机器的一个用户在内部网络设法访问一个有恶意的服务器为了下载恶意软件或参加僵尸网络.
为了连接到有恶意的服务器,主机必须执行DNS查找.
在本例中,对badsite.
cisco.
com的计算机尝试访问.
主机发送DNS请求到本地DNS服务器或直接地到一个外部DNS服务器.
在这两种情况下,DNS请求必须横断ASA,并且DNS答复必须也横断同样ASA.
2.
检查Dns监听缓存.
DNS检查的Dns监听功能,如果启用,监控DNS流量并且确定DNSA类记3.
录答复从DNS服务器返回.
Dns监听功能采取域,并且IP地址在A类记录答复提交并且添加它到Dns监听缓存.
域根据从step1的下载的数据库核对,并且找到匹配.
DNS答复没有丢弃和允许通过通过.
测试有流量的僵尸网络数据流过滤器.
由于有在步骤3的一匹配,ASA增加指示的一个内部规则到/从IP的所有流量关联与badsite.
cisco.
com丢弃.
感染的计算机然后设法访问URLbadsite.
cisco.
com服务器,并且流量丢弃.
4.
排除故障工作流请使用这些步骤为了排除故障和验证功能运作.
步骤1:检查动态过滤器数据库检查数据库是否下载并且输入show命令动态过滤器数据.
看此输出示例::#showdynamic-filterdataDynamicFilterisusingdownloadeddatabaseversion'1404865586'Fetchedat21:32:02EDTJul82014,size:2097145Samplecontentsfromdownloadeddatabase:dfgdsfgsdfg.
combulldogftp.
combnch.
ru52croftonparkroad.
infopaketoptom.
rulzvideo.
altervista.
orgavtovirag.
rucnner.
mobiSamplemetadatafromdownloadeddatabase:threat-level:very-high,category:Malware,description:"Thesearesourcesthatusevariousexploitstodeliveradware,spywareandothermalwaretovictimcomputers.
Someoftheseareassociatedwithrogueonlinevendorsanddistributorsofdialerswhichdeceptivelycallpremium-ratephonenumbers.
"threat-level:high,category:BotandThreatNetworks,description:"Theseareroguesystemsthatcontrolinfectedcomputers.
Theyareeithersystemshostedonthreatnetworksorsystemsthatarepartofthebotnetitselfthreat-level:moderate,category:Malware,description:"Thesearesourcesthatdeliverdeceptiveormaliciousanti-spyware,anti-malware,registrycleaning,andsystemcleaningsoftware.
"threat-level:low,category:Ads,description:"Theseareadvertisingnetworksthatdeliverbannerads,interstitials,richmediaads,pop-ups,andpop-undersforwebsites,spywareandadware.
Someofthesenetworkssendad-orientedHTMLemailsandemailverificationservices.
"TotalentriesinDynamicFilterdatabase:Dynamicdata:80677domainnames,4168IPv4addressesLocaldata:0domainnames,0IPv4addressesActiverulesinDynamicFilterasptable:Dynamicdata:0domainnames,4168IPv4addressesLocaldata:0domainnames,0IPv4addresses在此输出中,ASA指示最后成功的数据库取指令的时期和内容的示例在此数据库的.
如果运作show命令动态过滤器数据,并且命令显示数据库未下载,首先排除故障此步骤.
防止ASA获取动态过滤器数据库的常见问题包括:在ASA的缺失或不正确的DNS配置.
动态过滤器更新客户端必须解析更新服务器的主机名.

DNS一定是配置和工作在ASA.
ping从命令行的著名的域并且确定ASA是否能解决主机名.

q从ASA的没有互联网访问.
如果ASA在不访问的网络互联网,或者一个上行设备阻塞从访问的ASA的外部IP地址到互联网,更新发生故障.
q更新客户端没有启用.
必须配置命令动态过滤器更新客户端enable(event),以便ASA能下载数据库.
q输入debug命令动态过滤器更新客户端为了调试数据库.
请参阅从命令的此输出示例::DynamicFilter:UpdaterclientfetchingdataDynamicFilter:updatestartingDBG:01:2902417716:7fff2c33ec28:0000:Creatingfiber0x7fff2c4dce90[ipe_request_fiber],stack(16384)=0x7fff2c505c60.
.
0x7fff2c509c58(fc=2),sys0x7fff20906038(FIBERS/fibers.
c:fiber_create:544)DBG:02:2902417779:7fff2c4dce90:0000:Jumpstartingipe_request_fiber0x7fff2c4dce90,sys0x7fff2c33eba0(FIBERS/fibers-jumpstart.
c:_fiber_jumpstart:36)DynamicFilter:Createdluamachine,launchingluascriptDBG:03:2902422654:7fff2c4dce90:0000:Connectingto00000000:1591947792(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:04:2902422667:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:05:2902422691:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/ssl/CONNECT/3/208.
90.
58.
5/443/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:06:2902422920:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)DBG:07:2902750615:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DynamicFilter:ProcessingupdaterserverresponseDynamicFilter:updatefileurl1=http://updates.
ironport.
com/threatcast/1.
0/blacklist/2mb-1file/1404865586DynamicFilter:updatefileurl2=http://updates.
ironport.
com/threatcast/1.
0/blacklist/2mb-1file/1404865586ChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDBG:08:2902784011:7fff2c4dce90:0000:Connectingto00000000:538976288(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:09:2902784026:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:10:2902784051:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/tcp/CONNECT/3/208.
90.
58.
25/80/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:11:2902784241:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)DBG:12:2902914651:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DBG:13:2902914858:7fff2c4dce90:0000:Connectingto00000000:25465757(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:14:2902914888:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:15:2902914912:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/tcp/CONNECT/3/208.
90.
58.
25/80/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:16:2902915113:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)ChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDBG:17:2907804137:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DynamicFilter:Successfullydownloadedtheupdatefilefromurl1DynamicFilter:SuccessfullyfinishedluascriptDBG:18:2907804722:7fff2c4dce90:0000:Fiber0x7fff2c4dce90finishedleaving3more(FIBERS/fibers-jumpstart.
c:_fiber_jumpstart:64)DBG:19:2907804746:7fff2c4dce90:0000:Exitingfiber0x7fff2c4dce90(FIBERS/fibers.
c:fiber__kill:1287)DBG:20:2907804752:7fff2c4dce90:0000:Fiber0x7fff2c4dce90terminated,2more(FIBERS/fibers.
c:fiber__kill:1358)DynamicFilter:DownloadedfilesuccessfullyChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDynamicFilter:readramfsbytes2097152DynamicFilter:fileMD5verificationchecksucceededDynamicFilter:decryptkeysucceededDynamicFilter:decryptfilesucceededbyte=2097145DynamicFilter:updatingenginebytes=2097145DynamicFilter:metadatalength=2987INFO:DynamicFilter:updatesucceeded在此输出中,您能看到更新采取的这些步骤,当得到一个新的数据库时:更新提供援助对URLhttp://update-manifests.
ironport.
com为了确定哪个数据库下载.
q明显服务器返回下载的两个可能的URL.
q更新客户端下载数据库.
q数据库在内存解密并且存储供动态过滤过程使用.
q不同的更新服务器的连通性问题在此输出中表明作为错误并且帮助进一步排除故障.
迫使更新客户端以命令动态过滤器数据库取指令手工运行.
步骤2:保证DNS流量交叉此ASA僵尸网络ASA的数据流过滤器功能被建立匹配域的IP地址,因此ASA必须是根据穿程网络的DNS请求和答复.
一些拓扑也许造成DNS流量采取不包括有问题的ASA的路径.
多数网络有作为DNS转发器和缓存内部usrs的内部DNS服务器.
只要这些服务器,当他们转发一个DNS要求域他们时没拥有也不能应答为,寄请求给要求横断ASA的服务器,问题不应该发生.
请参阅这些拓扑有和没有内部DNS服务器:此拓扑示例显示指向内部DNS服务器的用户哪些转发到一个外部DNS服务器.

此拓扑示例显示指向直接地一个外部DNS服务器的用户.
在两个结构示例中,对运行Dns监听功能的一功能僵尸网络数据流过滤器部署的密钥是DNSA类记录要求外部域必须穿过ASA.
在内部服务器示例中,如果内部DNS服务器比用户计算机采取一个不同的网络路径为了到达互联网和在进程不横断ASA,Dns监听表不会包含用户计算机DNS请求和用户计算机威力造成的IP对域地图不被过滤正如所料.
请使用这些技术为了检查DNS流量穿过ASA:检查服务策略.
查看showservice策略输出为了确定DNS检查是否应用,配置与动态过滤器监听关键字,并且看到流量.
当您做DNS请求,数据包计数关联与DNS检查应该增加.

GigsGigsCloud:$16/月KVM-1GB/30GB/1TB/1.6T高防/洛杉矶CN2 GIA+AS9929

GigsGigsCloud是一家成立于2015年老牌国外主机商,提供VPS主机和独立服务器租用,数据中心包括美国洛杉矶、中国香港、新加坡、马来西亚和日本等。商家VPS主机基于KVM架构,绝大部分系列产品中国访问速度不错,比如洛杉矶机房有CN2 GIA、AS9929及高防线路等。目前Los Angeles - SimpleCloud with Premium China DDOS Protectio...

HostKvm:夏季优惠,香港云地/韩国vps终身7折,线路好/机器稳/适合做站

hostkvm怎么样?hostkvm是一家国内老牌主机商家,商家主要销售KVM架构的VPS,目前有美国、日本、韩国、中国香港等地的服务,站长目前还持有他家香港CN2线路的套餐,已经用了一年多了,除了前段时间香港被整段攻击以外,一直非常稳定,是做站的不二选择,目前商家针对香港云地和韩国机房的套餐进行7折优惠,其他套餐为8折,商家支持paypal和支付宝付款。点击进入:hostkvm官方网站地址hos...

易探云美国云服务器评测,主机低至33元/月,336元/年

美国服务器哪家平台好?美国服务器无需备案,即开即用,上线快。美国服务器多数带防御,且有时候项目运营的时候,防御能力是用户考虑的重点,特别是网站容易受到攻击的行业。现在有那么多美国一年服务器,哪家的美国云服务器好呢?美国服务器用哪家好?这里推荐易探云,有美国BGP、美国CN2、美国高防、美国GIA等云服务器,线路优化的不错。易探云刚好就是做香港及美国云服务器的主要商家之一,我们来看一下易探云美国云服...

网通dns服务器地址为你推荐
涡轮增压和自然吸气哪个好自然吸气与涡轮增压发动机哪个更好法兰绒和珊瑚绒哪个好珊瑚绒和法兰绒哪个暖和炒股软件哪个好最好的炒股软件是哪个?手机管家哪个好手机管家哪个软件好股票软件哪个好股票软件哪个好,手机股票软件哪个好用速腾和朗逸哪个好大众速腾和朗逸哪个比较好?家用!qq空间登录不了为什么我的QQ空间登陆不上?东莞电信宽带在东莞报装办理电信宽带好不好用,需要多少钱,在哪里报装dns服务器地址DNS服务地址360云盘官网360云盘手机下载官网下载安装到手
沈阳虚拟主机 出租服务器 希网动态域名 服务器配置技术网 locvps wavecom edis 视频存储服务器 网络星期一 鲜果阅读 云主机51web 中国特价网 三拼域名 太原联通测速平台 京东商城0元抢购 秒杀汇 in域名 申请网站 独享主机 徐州电信 更多