僵尸网络数据流过滤器问题用可适应安全工具
目录简介背景信息排除故障工作流步骤1:检查动态过滤器数据库步骤2:保证DNS流量交叉此ASA步骤3:检查DNS监听缓存步骤4:测试有流量的僵尸网络数据流过滤器简介本文描述步骤排除故障僵尸网络在可适应安全工具(ASA)的数据流过滤器功能.
关于与僵尸网络数据流过滤器配置的协助,请参阅此此配置指南:配置僵尸网络数据流过滤器.
背景信息僵尸网络数据流过滤器监视器域名服务器(DNS)请求和答复在内部DNS客户端和外部DNS服务器之间.
当DNS答复处理时,域关联与答复根据已知有恶意的域数据库核对.
如果有匹配,对IP地址的任何另外流量现在DNS答复阻塞.
请参阅此图表.
检查动态过滤器数据库.
ASA周期地下载已知有恶意的域和IP地址一个当前数据库.
思科的安全智能操作(SIO)确定域和IP地址在此数据库为恶意软件或其他有恶意的内容服务.
1.
保证DNS流量交叉ASA.
内部网络或一个受感染的机器的一个用户在内部网络设法访问一个有恶意的服务器为了下载恶意软件或参加僵尸网络.
为了连接到有恶意的服务器,主机必须执行DNS查找.
在本例中,对badsite.
cisco.
com的计算机尝试访问.
主机发送DNS请求到本地DNS服务器或直接地到一个外部DNS服务器.
在这两种情况下,DNS请求必须横断ASA,并且DNS答复必须也横断同样ASA.
2.
检查Dns监听缓存.
DNS检查的Dns监听功能,如果启用,监控DNS流量并且确定DNSA类记3.
录答复从DNS服务器返回.
Dns监听功能采取域,并且IP地址在A类记录答复提交并且添加它到Dns监听缓存.
域根据从step1的下载的数据库核对,并且找到匹配.
DNS答复没有丢弃和允许通过通过.
测试有流量的僵尸网络数据流过滤器.
由于有在步骤3的一匹配,ASA增加指示的一个内部规则到/从IP的所有流量关联与badsite.
cisco.
com丢弃.
感染的计算机然后设法访问URLbadsite.
cisco.
com服务器,并且流量丢弃.
4.
排除故障工作流请使用这些步骤为了排除故障和验证功能运作.
步骤1:检查动态过滤器数据库检查数据库是否下载并且输入show命令动态过滤器数据.
看此输出示例::#showdynamic-filterdataDynamicFilterisusingdownloadeddatabaseversion'1404865586'Fetchedat21:32:02EDTJul82014,size:2097145Samplecontentsfromdownloadeddatabase:dfgdsfgsdfg.
combulldogftp.
combnch.
ru52croftonparkroad.
infopaketoptom.
rulzvideo.
altervista.
orgavtovirag.
rucnner.
mobiSamplemetadatafromdownloadeddatabase:threat-level:very-high,category:Malware,description:"Thesearesourcesthatusevariousexploitstodeliveradware,spywareandothermalwaretovictimcomputers.
Someoftheseareassociatedwithrogueonlinevendorsanddistributorsofdialerswhichdeceptivelycallpremium-ratephonenumbers.
"threat-level:high,category:BotandThreatNetworks,description:"Theseareroguesystemsthatcontrolinfectedcomputers.
Theyareeithersystemshostedonthreatnetworksorsystemsthatarepartofthebotnetitselfthreat-level:moderate,category:Malware,description:"Thesearesourcesthatdeliverdeceptiveormaliciousanti-spyware,anti-malware,registrycleaning,andsystemcleaningsoftware.
"threat-level:low,category:Ads,description:"Theseareadvertisingnetworksthatdeliverbannerads,interstitials,richmediaads,pop-ups,andpop-undersforwebsites,spywareandadware.
Someofthesenetworkssendad-orientedHTMLemailsandemailverificationservices.
"TotalentriesinDynamicFilterdatabase:Dynamicdata:80677domainnames,4168IPv4addressesLocaldata:0domainnames,0IPv4addressesActiverulesinDynamicFilterasptable:Dynamicdata:0domainnames,4168IPv4addressesLocaldata:0domainnames,0IPv4addresses在此输出中,ASA指示最后成功的数据库取指令的时期和内容的示例在此数据库的.
如果运作show命令动态过滤器数据,并且命令显示数据库未下载,首先排除故障此步骤.
防止ASA获取动态过滤器数据库的常见问题包括:在ASA的缺失或不正确的DNS配置.
动态过滤器更新客户端必须解析更新服务器的主机名.
DNS一定是配置和工作在ASA.
ping从命令行的著名的域并且确定ASA是否能解决主机名.
q从ASA的没有互联网访问.
如果ASA在不访问的网络互联网,或者一个上行设备阻塞从访问的ASA的外部IP地址到互联网,更新发生故障.
q更新客户端没有启用.
必须配置命令动态过滤器更新客户端enable(event),以便ASA能下载数据库.
q输入debug命令动态过滤器更新客户端为了调试数据库.
请参阅从命令的此输出示例::DynamicFilter:UpdaterclientfetchingdataDynamicFilter:updatestartingDBG:01:2902417716:7fff2c33ec28:0000:Creatingfiber0x7fff2c4dce90[ipe_request_fiber],stack(16384)=0x7fff2c505c60.
.
0x7fff2c509c58(fc=2),sys0x7fff20906038(FIBERS/fibers.
c:fiber_create:544)DBG:02:2902417779:7fff2c4dce90:0000:Jumpstartingipe_request_fiber0x7fff2c4dce90,sys0x7fff2c33eba0(FIBERS/fibers-jumpstart.
c:_fiber_jumpstart:36)DynamicFilter:Createdluamachine,launchingluascriptDBG:03:2902422654:7fff2c4dce90:0000:Connectingto00000000:1591947792(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:04:2902422667:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:05:2902422691:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/ssl/CONNECT/3/208.
90.
58.
5/443/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:06:2902422920:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)DBG:07:2902750615:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DynamicFilter:ProcessingupdaterserverresponseDynamicFilter:updatefileurl1=http://updates.
ironport.
com/threatcast/1.
0/blacklist/2mb-1file/1404865586DynamicFilter:updatefileurl2=http://updates.
ironport.
com/threatcast/1.
0/blacklist/2mb-1file/1404865586ChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDBG:08:2902784011:7fff2c4dce90:0000:Connectingto00000000:538976288(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:09:2902784026:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:10:2902784051:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/tcp/CONNECT/3/208.
90.
58.
25/80/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:11:2902784241:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)DBG:12:2902914651:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DBG:13:2902914858:7fff2c4dce90:0000:Connectingto00000000:25465757(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:14:2902914888:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:15:2902914912:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/tcp/CONNECT/3/208.
90.
58.
25/80/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:16:2902915113:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)ChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDBG:17:2907804137:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DynamicFilter:Successfullydownloadedtheupdatefilefromurl1DynamicFilter:SuccessfullyfinishedluascriptDBG:18:2907804722:7fff2c4dce90:0000:Fiber0x7fff2c4dce90finishedleaving3more(FIBERS/fibers-jumpstart.
c:_fiber_jumpstart:64)DBG:19:2907804746:7fff2c4dce90:0000:Exitingfiber0x7fff2c4dce90(FIBERS/fibers.
c:fiber__kill:1287)DBG:20:2907804752:7fff2c4dce90:0000:Fiber0x7fff2c4dce90terminated,2more(FIBERS/fibers.
c:fiber__kill:1358)DynamicFilter:DownloadedfilesuccessfullyChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDynamicFilter:readramfsbytes2097152DynamicFilter:fileMD5verificationchecksucceededDynamicFilter:decryptkeysucceededDynamicFilter:decryptfilesucceededbyte=2097145DynamicFilter:updatingenginebytes=2097145DynamicFilter:metadatalength=2987INFO:DynamicFilter:updatesucceeded在此输出中,您能看到更新采取的这些步骤,当得到一个新的数据库时:更新提供援助对URLhttp://update-manifests.
ironport.
com为了确定哪个数据库下载.
q明显服务器返回下载的两个可能的URL.
q更新客户端下载数据库.
q数据库在内存解密并且存储供动态过滤过程使用.
q不同的更新服务器的连通性问题在此输出中表明作为错误并且帮助进一步排除故障.
迫使更新客户端以命令动态过滤器数据库取指令手工运行.
步骤2:保证DNS流量交叉此ASA僵尸网络ASA的数据流过滤器功能被建立匹配域的IP地址,因此ASA必须是根据穿程网络的DNS请求和答复.
一些拓扑也许造成DNS流量采取不包括有问题的ASA的路径.
多数网络有作为DNS转发器和缓存内部usrs的内部DNS服务器.
只要这些服务器,当他们转发一个DNS要求域他们时没拥有也不能应答为,寄请求给要求横断ASA的服务器,问题不应该发生.
请参阅这些拓扑有和没有内部DNS服务器:此拓扑示例显示指向内部DNS服务器的用户哪些转发到一个外部DNS服务器.
此拓扑示例显示指向直接地一个外部DNS服务器的用户.
在两个结构示例中,对运行Dns监听功能的一功能僵尸网络数据流过滤器部署的密钥是DNSA类记录要求外部域必须穿过ASA.
在内部服务器示例中,如果内部DNS服务器比用户计算机采取一个不同的网络路径为了到达互联网和在进程不横断ASA,Dns监听表不会包含用户计算机DNS请求和用户计算机威力造成的IP对域地图不被过滤正如所料.
请使用这些技术为了检查DNS流量穿过ASA:检查服务策略.
查看showservice策略输出为了确定DNS检查是否应用,配置与动态过滤器监听关键字,并且看到流量.
当您做DNS请求,数据包计数关联与DNS检查应该增加.
- 僵尸网络数据流过滤器问题用可适应安全工具相关文档
- 系统网通dns服务器地址
- 投标网通dns服务器地址
- 全球网通dns服务器地址
- 昌吉市电子政务外网网络防毒墙参数
- 磋商网通dns服务器地址
- 在重叠网络中使用
恒创新客(317元)香港云服务器 2M带宽 三网CN2线路直连
恒创科技也有暑期的活动,其中香港服务器也有一定折扣,当然是针对新用户的,如果我们还没有注册过或者可以有办法注册到新用户的,可以买他们家的香港服务器活动价格,2M带宽香港云服务器317元。对于一般用途还是够用的。 活动链接:恒创暑期活动爆款活动均是针对新用户的。1、云服务器仅限首次购买恒创科技产品的新用户。1 核 1G 实例规格,单个账户限购 1台;其他活动机型,单个账户限购 3 台(必须在一个订单...
御云(RoyalYun):香港CN2 GIA VPS仅7.9元每月起,美国vps仅8.9/月,续费同价,可叠加优惠
御云怎么样?炎炎暑期即将来临,御云(royalyun)香港、美国服务器开启大特惠模式。御云是新成立的云服务提供商,主要提供香港、美国的云服务器,不久将开启虚拟主机业务。我们的香港和美国主机采用CN2 GIA线路。目前,香港cn2 gia vps仅7.9元每月起,美国vps仅8.9/月,续费同价,可叠加优惠,香港云服务器国内延迟一般在50ms左右,是搭建网站的最佳选择,但是请不要用于违法用途。点击进...
CloudCone,美国洛杉矶独立服务器特价优惠,美国洛杉矶MC机房,100Mbps带宽不限流量,可选G口,E3-1270 v2处理器32G内存1Gbps带宽,69美元/月
今天CloudCone发布了最新的消息,推送了几款特价独立服务器/杜甫产品,美国洛杉矶MC机房,分配100Mbps带宽不限流量,可以选择G口限制流量计划方案,存储分配的比较大,选择HDD硬盘的话2TB起,MC机房到大陆地区线路还不错,有需要美国特价独立服务器的朋友可以关注一下。CloudCone怎么样?CloudCone服务器好不好?CloudCone值不值得购买?CloudCone是一家成立于2...
-
cf蜗牛外挂蜗牛透视怎么开?具体些哦电脑杀毒软件哪个好电脑杀毒用哪个好?电视直播软件哪个好目前最好的网络电视直播软件是哪个?炒股软件哪个好最好的炒股软件是哪个?网校哪个好请问在网校排名中,哪个网校是最好的?想找一家最好的来选择啊?oppo和vivo哪个好vivo好还是oppo手机好呢?网络机顶盒哪个好什么牌子的网络机顶盒最好云盘哪个好网盘哪个好用?空间登录页面怎样用网页登录到自己的QQ空间?如何增加百度收录如何快速提高百度收录量