僵尸网络数据流过滤器问题用可适应安全工具

目录简介背景信息排除故障工作流步骤1:检查动态过滤器数据库步骤2:保证DNS流量交叉此ASA步骤3:检查DNS监听缓存步骤4:测试有流量的僵尸网络数据流过滤器简介本文描述步骤排除故障僵尸网络在可适应安全工具(ASA)的数据流过滤器功能.
关于与僵尸网络数据流过滤器配置的协助,请参阅此此配置指南:配置僵尸网络数据流过滤器.

背景信息僵尸网络数据流过滤器监视器域名服务器(DNS)请求和答复在内部DNS客户端和外部DNS服务器之间.
当DNS答复处理时,域关联与答复根据已知有恶意的域数据库核对.
如果有匹配,对IP地址的任何另外流量现在DNS答复阻塞.
请参阅此图表.
检查动态过滤器数据库.
ASA周期地下载已知有恶意的域和IP地址一个当前数据库.
思科的安全智能操作(SIO)确定域和IP地址在此数据库为恶意软件或其他有恶意的内容服务.

1.
保证DNS流量交叉ASA.
内部网络或一个受感染的机器的一个用户在内部网络设法访问一个有恶意的服务器为了下载恶意软件或参加僵尸网络.
为了连接到有恶意的服务器,主机必须执行DNS查找.
在本例中,对badsite.
cisco.
com的计算机尝试访问.
主机发送DNS请求到本地DNS服务器或直接地到一个外部DNS服务器.
在这两种情况下,DNS请求必须横断ASA,并且DNS答复必须也横断同样ASA.
2.
检查Dns监听缓存.
DNS检查的Dns监听功能,如果启用,监控DNS流量并且确定DNSA类记3.
录答复从DNS服务器返回.
Dns监听功能采取域,并且IP地址在A类记录答复提交并且添加它到Dns监听缓存.
域根据从step1的下载的数据库核对,并且找到匹配.
DNS答复没有丢弃和允许通过通过.
测试有流量的僵尸网络数据流过滤器.
由于有在步骤3的一匹配,ASA增加指示的一个内部规则到/从IP的所有流量关联与badsite.
cisco.
com丢弃.
感染的计算机然后设法访问URLbadsite.
cisco.
com服务器,并且流量丢弃.
4.
排除故障工作流请使用这些步骤为了排除故障和验证功能运作.
步骤1:检查动态过滤器数据库检查数据库是否下载并且输入show命令动态过滤器数据.
看此输出示例::#showdynamic-filterdataDynamicFilterisusingdownloadeddatabaseversion'1404865586'Fetchedat21:32:02EDTJul82014,size:2097145Samplecontentsfromdownloadeddatabase:dfgdsfgsdfg.
combulldogftp.
combnch.
ru52croftonparkroad.
infopaketoptom.
rulzvideo.
altervista.
orgavtovirag.
rucnner.
mobiSamplemetadatafromdownloadeddatabase:threat-level:very-high,category:Malware,description:"Thesearesourcesthatusevariousexploitstodeliveradware,spywareandothermalwaretovictimcomputers.
Someoftheseareassociatedwithrogueonlinevendorsanddistributorsofdialerswhichdeceptivelycallpremium-ratephonenumbers.
"threat-level:high,category:BotandThreatNetworks,description:"Theseareroguesystemsthatcontrolinfectedcomputers.
Theyareeithersystemshostedonthreatnetworksorsystemsthatarepartofthebotnetitselfthreat-level:moderate,category:Malware,description:"Thesearesourcesthatdeliverdeceptiveormaliciousanti-spyware,anti-malware,registrycleaning,andsystemcleaningsoftware.
"threat-level:low,category:Ads,description:"Theseareadvertisingnetworksthatdeliverbannerads,interstitials,richmediaads,pop-ups,andpop-undersforwebsites,spywareandadware.
Someofthesenetworkssendad-orientedHTMLemailsandemailverificationservices.
"TotalentriesinDynamicFilterdatabase:Dynamicdata:80677domainnames,4168IPv4addressesLocaldata:0domainnames,0IPv4addressesActiverulesinDynamicFilterasptable:Dynamicdata:0domainnames,4168IPv4addressesLocaldata:0domainnames,0IPv4addresses在此输出中,ASA指示最后成功的数据库取指令的时期和内容的示例在此数据库的.
如果运作show命令动态过滤器数据,并且命令显示数据库未下载,首先排除故障此步骤.
防止ASA获取动态过滤器数据库的常见问题包括:在ASA的缺失或不正确的DNS配置.
动态过滤器更新客户端必须解析更新服务器的主机名.

DNS一定是配置和工作在ASA.
ping从命令行的著名的域并且确定ASA是否能解决主机名.

q从ASA的没有互联网访问.
如果ASA在不访问的网络互联网,或者一个上行设备阻塞从访问的ASA的外部IP地址到互联网,更新发生故障.
q更新客户端没有启用.
必须配置命令动态过滤器更新客户端enable(event),以便ASA能下载数据库.
q输入debug命令动态过滤器更新客户端为了调试数据库.
请参阅从命令的此输出示例::DynamicFilter:UpdaterclientfetchingdataDynamicFilter:updatestartingDBG:01:2902417716:7fff2c33ec28:0000:Creatingfiber0x7fff2c4dce90[ipe_request_fiber],stack(16384)=0x7fff2c505c60.
.
0x7fff2c509c58(fc=2),sys0x7fff20906038(FIBERS/fibers.
c:fiber_create:544)DBG:02:2902417779:7fff2c4dce90:0000:Jumpstartingipe_request_fiber0x7fff2c4dce90,sys0x7fff2c33eba0(FIBERS/fibers-jumpstart.
c:_fiber_jumpstart:36)DynamicFilter:Createdluamachine,launchingluascriptDBG:03:2902422654:7fff2c4dce90:0000:Connectingto00000000:1591947792(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:04:2902422667:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:05:2902422691:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/ssl/CONNECT/3/208.
90.
58.
5/443/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:06:2902422920:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)DBG:07:2902750615:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DynamicFilter:ProcessingupdaterserverresponseDynamicFilter:updatefileurl1=http://updates.
ironport.
com/threatcast/1.
0/blacklist/2mb-1file/1404865586DynamicFilter:updatefileurl2=http://updates.
ironport.
com/threatcast/1.
0/blacklist/2mb-1file/1404865586ChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDBG:08:2902784011:7fff2c4dce90:0000:Connectingto00000000:538976288(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:09:2902784026:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:10:2902784051:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/tcp/CONNECT/3/208.
90.
58.
25/80/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:11:2902784241:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)DBG:12:2902914651:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DBG:13:2902914858:7fff2c4dce90:0000:Connectingto00000000:25465757(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:14:2902914888:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:15:2902914912:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/tcp/CONNECT/3/208.
90.
58.
25/80/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:16:2902915113:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)ChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDBG:17:2907804137:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DynamicFilter:Successfullydownloadedtheupdatefilefromurl1DynamicFilter:SuccessfullyfinishedluascriptDBG:18:2907804722:7fff2c4dce90:0000:Fiber0x7fff2c4dce90finishedleaving3more(FIBERS/fibers-jumpstart.
c:_fiber_jumpstart:64)DBG:19:2907804746:7fff2c4dce90:0000:Exitingfiber0x7fff2c4dce90(FIBERS/fibers.
c:fiber__kill:1287)DBG:20:2907804752:7fff2c4dce90:0000:Fiber0x7fff2c4dce90terminated,2more(FIBERS/fibers.
c:fiber__kill:1358)DynamicFilter:DownloadedfilesuccessfullyChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDynamicFilter:readramfsbytes2097152DynamicFilter:fileMD5verificationchecksucceededDynamicFilter:decryptkeysucceededDynamicFilter:decryptfilesucceededbyte=2097145DynamicFilter:updatingenginebytes=2097145DynamicFilter:metadatalength=2987INFO:DynamicFilter:updatesucceeded在此输出中,您能看到更新采取的这些步骤,当得到一个新的数据库时:更新提供援助对URLhttp://update-manifests.
ironport.
com为了确定哪个数据库下载.
q明显服务器返回下载的两个可能的URL.
q更新客户端下载数据库.
q数据库在内存解密并且存储供动态过滤过程使用.
q不同的更新服务器的连通性问题在此输出中表明作为错误并且帮助进一步排除故障.
迫使更新客户端以命令动态过滤器数据库取指令手工运行.
步骤2:保证DNS流量交叉此ASA僵尸网络ASA的数据流过滤器功能被建立匹配域的IP地址,因此ASA必须是根据穿程网络的DNS请求和答复.
一些拓扑也许造成DNS流量采取不包括有问题的ASA的路径.
多数网络有作为DNS转发器和缓存内部usrs的内部DNS服务器.
只要这些服务器,当他们转发一个DNS要求域他们时没拥有也不能应答为,寄请求给要求横断ASA的服务器,问题不应该发生.
请参阅这些拓扑有和没有内部DNS服务器:此拓扑示例显示指向内部DNS服务器的用户哪些转发到一个外部DNS服务器.

此拓扑示例显示指向直接地一个外部DNS服务器的用户.
在两个结构示例中,对运行Dns监听功能的一功能僵尸网络数据流过滤器部署的密钥是DNSA类记录要求外部域必须穿过ASA.
在内部服务器示例中,如果内部DNS服务器比用户计算机采取一个不同的网络路径为了到达互联网和在进程不横断ASA,Dns监听表不会包含用户计算机DNS请求和用户计算机威力造成的IP对域地图不被过滤正如所料.
请使用这些技术为了检查DNS流量穿过ASA:检查服务策略.
查看showservice策略输出为了确定DNS检查是否应用,配置与动态过滤器监听关键字,并且看到流量.
当您做DNS请求,数据包计数关联与DNS检查应该增加.