僵尸网络数据流过滤器问题用可适应安全工具

网通dns服务器地址  时间:2021-01-22  阅读:()

目录简介背景信息排除故障工作流步骤1:检查动态过滤器数据库步骤2:保证DNS流量交叉此ASA步骤3:检查DNS监听缓存步骤4:测试有流量的僵尸网络数据流过滤器简介本文描述步骤排除故障僵尸网络在可适应安全工具(ASA)的数据流过滤器功能.
关于与僵尸网络数据流过滤器配置的协助,请参阅此此配置指南:配置僵尸网络数据流过滤器.

背景信息僵尸网络数据流过滤器监视器域名服务器(DNS)请求和答复在内部DNS客户端和外部DNS服务器之间.
当DNS答复处理时,域关联与答复根据已知有恶意的域数据库核对.
如果有匹配,对IP地址的任何另外流量现在DNS答复阻塞.
请参阅此图表.
检查动态过滤器数据库.
ASA周期地下载已知有恶意的域和IP地址一个当前数据库.
思科的安全智能操作(SIO)确定域和IP地址在此数据库为恶意软件或其他有恶意的内容服务.

1.
保证DNS流量交叉ASA.
内部网络或一个受感染的机器的一个用户在内部网络设法访问一个有恶意的服务器为了下载恶意软件或参加僵尸网络.
为了连接到有恶意的服务器,主机必须执行DNS查找.
在本例中,对badsite.
cisco.
com的计算机尝试访问.
主机发送DNS请求到本地DNS服务器或直接地到一个外部DNS服务器.
在这两种情况下,DNS请求必须横断ASA,并且DNS答复必须也横断同样ASA.
2.
检查Dns监听缓存.
DNS检查的Dns监听功能,如果启用,监控DNS流量并且确定DNSA类记3.
录答复从DNS服务器返回.
Dns监听功能采取域,并且IP地址在A类记录答复提交并且添加它到Dns监听缓存.
域根据从step1的下载的数据库核对,并且找到匹配.
DNS答复没有丢弃和允许通过通过.
测试有流量的僵尸网络数据流过滤器.
由于有在步骤3的一匹配,ASA增加指示的一个内部规则到/从IP的所有流量关联与badsite.
cisco.
com丢弃.
感染的计算机然后设法访问URLbadsite.
cisco.
com服务器,并且流量丢弃.
4.
排除故障工作流请使用这些步骤为了排除故障和验证功能运作.
步骤1:检查动态过滤器数据库检查数据库是否下载并且输入show命令动态过滤器数据.
看此输出示例::#showdynamic-filterdataDynamicFilterisusingdownloadeddatabaseversion'1404865586'Fetchedat21:32:02EDTJul82014,size:2097145Samplecontentsfromdownloadeddatabase:dfgdsfgsdfg.
combulldogftp.
combnch.
ru52croftonparkroad.
infopaketoptom.
rulzvideo.
altervista.
orgavtovirag.
rucnner.
mobiSamplemetadatafromdownloadeddatabase:threat-level:very-high,category:Malware,description:"Thesearesourcesthatusevariousexploitstodeliveradware,spywareandothermalwaretovictimcomputers.
Someoftheseareassociatedwithrogueonlinevendorsanddistributorsofdialerswhichdeceptivelycallpremium-ratephonenumbers.
"threat-level:high,category:BotandThreatNetworks,description:"Theseareroguesystemsthatcontrolinfectedcomputers.
Theyareeithersystemshostedonthreatnetworksorsystemsthatarepartofthebotnetitselfthreat-level:moderate,category:Malware,description:"Thesearesourcesthatdeliverdeceptiveormaliciousanti-spyware,anti-malware,registrycleaning,andsystemcleaningsoftware.
"threat-level:low,category:Ads,description:"Theseareadvertisingnetworksthatdeliverbannerads,interstitials,richmediaads,pop-ups,andpop-undersforwebsites,spywareandadware.
Someofthesenetworkssendad-orientedHTMLemailsandemailverificationservices.
"TotalentriesinDynamicFilterdatabase:Dynamicdata:80677domainnames,4168IPv4addressesLocaldata:0domainnames,0IPv4addressesActiverulesinDynamicFilterasptable:Dynamicdata:0domainnames,4168IPv4addressesLocaldata:0domainnames,0IPv4addresses在此输出中,ASA指示最后成功的数据库取指令的时期和内容的示例在此数据库的.
如果运作show命令动态过滤器数据,并且命令显示数据库未下载,首先排除故障此步骤.
防止ASA获取动态过滤器数据库的常见问题包括:在ASA的缺失或不正确的DNS配置.
动态过滤器更新客户端必须解析更新服务器的主机名.

DNS一定是配置和工作在ASA.
ping从命令行的著名的域并且确定ASA是否能解决主机名.

q从ASA的没有互联网访问.
如果ASA在不访问的网络互联网,或者一个上行设备阻塞从访问的ASA的外部IP地址到互联网,更新发生故障.
q更新客户端没有启用.
必须配置命令动态过滤器更新客户端enable(event),以便ASA能下载数据库.
q输入debug命令动态过滤器更新客户端为了调试数据库.
请参阅从命令的此输出示例::DynamicFilter:UpdaterclientfetchingdataDynamicFilter:updatestartingDBG:01:2902417716:7fff2c33ec28:0000:Creatingfiber0x7fff2c4dce90[ipe_request_fiber],stack(16384)=0x7fff2c505c60.
.
0x7fff2c509c58(fc=2),sys0x7fff20906038(FIBERS/fibers.
c:fiber_create:544)DBG:02:2902417779:7fff2c4dce90:0000:Jumpstartingipe_request_fiber0x7fff2c4dce90,sys0x7fff2c33eba0(FIBERS/fibers-jumpstart.
c:_fiber_jumpstart:36)DynamicFilter:Createdluamachine,launchingluascriptDBG:03:2902422654:7fff2c4dce90:0000:Connectingto00000000:1591947792(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:04:2902422667:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:05:2902422691:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/ssl/CONNECT/3/208.
90.
58.
5/443/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:06:2902422920:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)DBG:07:2902750615:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DynamicFilter:ProcessingupdaterserverresponseDynamicFilter:updatefileurl1=http://updates.
ironport.
com/threatcast/1.
0/blacklist/2mb-1file/1404865586DynamicFilter:updatefileurl2=http://updates.
ironport.
com/threatcast/1.
0/blacklist/2mb-1file/1404865586ChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDBG:08:2902784011:7fff2c4dce90:0000:Connectingto00000000:538976288(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:09:2902784026:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:10:2902784051:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/tcp/CONNECT/3/208.
90.
58.
25/80/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:11:2902784241:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)DBG:12:2902914651:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DBG:13:2902914858:7fff2c4dce90:0000:Connectingto00000000:25465757(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:14:2902914888:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:15:2902914912:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/tcp/CONNECT/3/208.
90.
58.
25/80/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:16:2902915113:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)ChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDBG:17:2907804137:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DynamicFilter:Successfullydownloadedtheupdatefilefromurl1DynamicFilter:SuccessfullyfinishedluascriptDBG:18:2907804722:7fff2c4dce90:0000:Fiber0x7fff2c4dce90finishedleaving3more(FIBERS/fibers-jumpstart.
c:_fiber_jumpstart:64)DBG:19:2907804746:7fff2c4dce90:0000:Exitingfiber0x7fff2c4dce90(FIBERS/fibers.
c:fiber__kill:1287)DBG:20:2907804752:7fff2c4dce90:0000:Fiber0x7fff2c4dce90terminated,2more(FIBERS/fibers.
c:fiber__kill:1358)DynamicFilter:DownloadedfilesuccessfullyChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDynamicFilter:readramfsbytes2097152DynamicFilter:fileMD5verificationchecksucceededDynamicFilter:decryptkeysucceededDynamicFilter:decryptfilesucceededbyte=2097145DynamicFilter:updatingenginebytes=2097145DynamicFilter:metadatalength=2987INFO:DynamicFilter:updatesucceeded在此输出中,您能看到更新采取的这些步骤,当得到一个新的数据库时:更新提供援助对URLhttp://update-manifests.
ironport.
com为了确定哪个数据库下载.
q明显服务器返回下载的两个可能的URL.
q更新客户端下载数据库.
q数据库在内存解密并且存储供动态过滤过程使用.
q不同的更新服务器的连通性问题在此输出中表明作为错误并且帮助进一步排除故障.
迫使更新客户端以命令动态过滤器数据库取指令手工运行.
步骤2:保证DNS流量交叉此ASA僵尸网络ASA的数据流过滤器功能被建立匹配域的IP地址,因此ASA必须是根据穿程网络的DNS请求和答复.
一些拓扑也许造成DNS流量采取不包括有问题的ASA的路径.
多数网络有作为DNS转发器和缓存内部usrs的内部DNS服务器.
只要这些服务器,当他们转发一个DNS要求域他们时没拥有也不能应答为,寄请求给要求横断ASA的服务器,问题不应该发生.
请参阅这些拓扑有和没有内部DNS服务器:此拓扑示例显示指向内部DNS服务器的用户哪些转发到一个外部DNS服务器.

此拓扑示例显示指向直接地一个外部DNS服务器的用户.
在两个结构示例中,对运行Dns监听功能的一功能僵尸网络数据流过滤器部署的密钥是DNSA类记录要求外部域必须穿过ASA.
在内部服务器示例中,如果内部DNS服务器比用户计算机采取一个不同的网络路径为了到达互联网和在进程不横断ASA,Dns监听表不会包含用户计算机DNS请求和用户计算机威力造成的IP对域地图不被过滤正如所料.
请使用这些技术为了检查DNS流量穿过ASA:检查服务策略.
查看showservice策略输出为了确定DNS检查是否应用,配置与动态过滤器监听关键字,并且看到流量.
当您做DNS请求,数据包计数关联与DNS检查应该增加.

HTTPS加密协议端口默认是多少且是否支持更换端口访问

看到群里网友们在讨论由于不清楚的原因,有同学的网站无法访问。他的网站是没有用HTTPS的,直接访问他的HTTP是无法访问的,通过PING测试可以看到解析地址已经比较乱,应该是所谓的DNS污染。其中有网友提到采用HTTPS加密证书试试。因为HTTP和HTTPS走的不是一个端口,之前有网友这样测试过是可以缓解这样的问题。这样通过将网站绑定设置HTTPS之后,是可以打开的,看来网站的80端口出现问题,而...

lcloud零云:沪港IPLC,70元/月/200Mbps端口/共享IPv4/KVM;成都/德阳/雅安独立服务器低至400元/月起

lcloud怎么样?lcloud零云,UOVZ新开的子站,现在沪港iplc KVM VPS有端午节优惠,年付双倍流量,200Mbps带宽,性价比高。100Mbps带宽,500GB月流量,10个,512MB内存,优惠后月付70元,年付700元。另有国内独立服务器租用,泉州、佛山、成都、德阳、雅安独立服务器低至400元/月起!点击进入:lcloud官方网站地址lcloud零云优惠码:优惠码:bMVbR...

美国G口/香港CTG/美国T级超防云/湖北高防云服务器物理机促销活动 六一云

六一云 成立于2018年,归属于西安六一网络科技有限公司,是一家国内正规持有IDC ISP CDN IRCS电信经营许可证书的老牌商家。大陆持证公司受大陆各部门监管不好用支持退款退现,再也不怕被割韭菜了!主要业务有:国内高防云,美国高防云,美国cera大带宽,香港CTG,香港沙田CN2,海外站群服务,物理机,宿母鸡等,另外也诚招代理欢迎咨询。官网www.61cloud.net最新直销劲爆...

网通dns服务器地址为你推荐
马云将从软银董事会辞职怎样看待马云9月10辞去阿里巴巴董事长,回归教育?天玑1000plus和骁龙865哪个好天玑720和骁龙765g哪个好?朱祁钰和朱祁镇哪个好朱高炽在位时间长还是朱祁钰在位时间长?手机杀毒软件哪个好手机安全杀毒软件哪个比较好些?ps软件哪个好Photoshop哪个软件好用点?电陶炉和电磁炉哪个好电陶炉和电磁炉哪个好电陶炉和电磁炉哪个好电磁炉和电陶炉哪个好? 电磁炉和电陶炉的具体区别加速器哪个好网络游戏加速器哪个好用行车记录仪哪个好最好的行车记录仪是什么牌子qq空间登录不上qq空间登不进去 怎么办
移动服务器租用 万网域名证书查询 国外空间服务商 空间服务商 dux 河南m值兑换 183是联通还是移动 域名评估 卡巴斯基免费试用 上海联通宽带测速 七夕快乐英语 视频服务器是什么 网购分享 www789 1美元 阵亡将士纪念日 中国电信宽带测速 石家庄服务器 tracker服务器 架设代理服务器 更多