僵尸网络数据流过滤器问题用可适应安全工具
目录简介背景信息排除故障工作流步骤1:检查动态过滤器数据库步骤2:保证DNS流量交叉此ASA步骤3:检查DNS监听缓存步骤4:测试有流量的僵尸网络数据流过滤器简介本文描述步骤排除故障僵尸网络在可适应安全工具(ASA)的数据流过滤器功能.
关于与僵尸网络数据流过滤器配置的协助,请参阅此此配置指南:配置僵尸网络数据流过滤器.
背景信息僵尸网络数据流过滤器监视器域名服务器(DNS)请求和答复在内部DNS客户端和外部DNS服务器之间.
当DNS答复处理时,域关联与答复根据已知有恶意的域数据库核对.
如果有匹配,对IP地址的任何另外流量现在DNS答复阻塞.
请参阅此图表.
检查动态过滤器数据库.
ASA周期地下载已知有恶意的域和IP地址一个当前数据库.
思科的安全智能操作(SIO)确定域和IP地址在此数据库为恶意软件或其他有恶意的内容服务.
1.
保证DNS流量交叉ASA.
内部网络或一个受感染的机器的一个用户在内部网络设法访问一个有恶意的服务器为了下载恶意软件或参加僵尸网络.
为了连接到有恶意的服务器,主机必须执行DNS查找.
在本例中,对badsite.
cisco.
com的计算机尝试访问.
主机发送DNS请求到本地DNS服务器或直接地到一个外部DNS服务器.
在这两种情况下,DNS请求必须横断ASA,并且DNS答复必须也横断同样ASA.
2.
检查Dns监听缓存.
DNS检查的Dns监听功能,如果启用,监控DNS流量并且确定DNSA类记3.
录答复从DNS服务器返回.
Dns监听功能采取域,并且IP地址在A类记录答复提交并且添加它到Dns监听缓存.
域根据从step1的下载的数据库核对,并且找到匹配.
DNS答复没有丢弃和允许通过通过.
测试有流量的僵尸网络数据流过滤器.
由于有在步骤3的一匹配,ASA增加指示的一个内部规则到/从IP的所有流量关联与badsite.
cisco.
com丢弃.
感染的计算机然后设法访问URLbadsite.
cisco.
com服务器,并且流量丢弃.
4.
排除故障工作流请使用这些步骤为了排除故障和验证功能运作.
步骤1:检查动态过滤器数据库检查数据库是否下载并且输入show命令动态过滤器数据.
看此输出示例::#showdynamic-filterdataDynamicFilterisusingdownloadeddatabaseversion'1404865586'Fetchedat21:32:02EDTJul82014,size:2097145Samplecontentsfromdownloadeddatabase:dfgdsfgsdfg.
combulldogftp.
combnch.
ru52croftonparkroad.
infopaketoptom.
rulzvideo.
altervista.
orgavtovirag.
rucnner.
mobiSamplemetadatafromdownloadeddatabase:threat-level:very-high,category:Malware,description:"Thesearesourcesthatusevariousexploitstodeliveradware,spywareandothermalwaretovictimcomputers.
Someoftheseareassociatedwithrogueonlinevendorsanddistributorsofdialerswhichdeceptivelycallpremium-ratephonenumbers.
"threat-level:high,category:BotandThreatNetworks,description:"Theseareroguesystemsthatcontrolinfectedcomputers.
Theyareeithersystemshostedonthreatnetworksorsystemsthatarepartofthebotnetitselfthreat-level:moderate,category:Malware,description:"Thesearesourcesthatdeliverdeceptiveormaliciousanti-spyware,anti-malware,registrycleaning,andsystemcleaningsoftware.
"threat-level:low,category:Ads,description:"Theseareadvertisingnetworksthatdeliverbannerads,interstitials,richmediaads,pop-ups,andpop-undersforwebsites,spywareandadware.
Someofthesenetworkssendad-orientedHTMLemailsandemailverificationservices.
"TotalentriesinDynamicFilterdatabase:Dynamicdata:80677domainnames,4168IPv4addressesLocaldata:0domainnames,0IPv4addressesActiverulesinDynamicFilterasptable:Dynamicdata:0domainnames,4168IPv4addressesLocaldata:0domainnames,0IPv4addresses在此输出中,ASA指示最后成功的数据库取指令的时期和内容的示例在此数据库的.
如果运作show命令动态过滤器数据,并且命令显示数据库未下载,首先排除故障此步骤.
防止ASA获取动态过滤器数据库的常见问题包括:在ASA的缺失或不正确的DNS配置.
动态过滤器更新客户端必须解析更新服务器的主机名.
DNS一定是配置和工作在ASA.
ping从命令行的著名的域并且确定ASA是否能解决主机名.
q从ASA的没有互联网访问.
如果ASA在不访问的网络互联网,或者一个上行设备阻塞从访问的ASA的外部IP地址到互联网,更新发生故障.
q更新客户端没有启用.
必须配置命令动态过滤器更新客户端enable(event),以便ASA能下载数据库.
q输入debug命令动态过滤器更新客户端为了调试数据库.
请参阅从命令的此输出示例::DynamicFilter:UpdaterclientfetchingdataDynamicFilter:updatestartingDBG:01:2902417716:7fff2c33ec28:0000:Creatingfiber0x7fff2c4dce90[ipe_request_fiber],stack(16384)=0x7fff2c505c60.
.
0x7fff2c509c58(fc=2),sys0x7fff20906038(FIBERS/fibers.
c:fiber_create:544)DBG:02:2902417779:7fff2c4dce90:0000:Jumpstartingipe_request_fiber0x7fff2c4dce90,sys0x7fff2c33eba0(FIBERS/fibers-jumpstart.
c:_fiber_jumpstart:36)DynamicFilter:Createdluamachine,launchingluascriptDBG:03:2902422654:7fff2c4dce90:0000:Connectingto00000000:1591947792(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:04:2902422667:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:05:2902422691:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/ssl/CONNECT/3/208.
90.
58.
5/443/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:06:2902422920:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)DBG:07:2902750615:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DynamicFilter:ProcessingupdaterserverresponseDynamicFilter:updatefileurl1=http://updates.
ironport.
com/threatcast/1.
0/blacklist/2mb-1file/1404865586DynamicFilter:updatefileurl2=http://updates.
ironport.
com/threatcast/1.
0/blacklist/2mb-1file/1404865586ChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDBG:08:2902784011:7fff2c4dce90:0000:Connectingto00000000:538976288(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:09:2902784026:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:10:2902784051:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/tcp/CONNECT/3/208.
90.
58.
25/80/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:11:2902784241:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)DBG:12:2902914651:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DBG:13:2902914858:7fff2c4dce90:0000:Connectingto00000000:25465757(SAL/netsal.
c:netsal_client_sock_connect:323)DBG:14:2902914888:7fff2c4dce90:0000:otherPifNum3,nexthop417c12ac(SAL/netsal.
c:netsal_client_sock_connect:374)DBG:15:2902914912:7fff2c4dce90:0000:abouttocallnetsal__safe_encapsulatefor(sal-np/tcp/CONNECT/3/208.
90.
58.
25/80/M/0/NOTUNGW)(SAL/netsal.
c:netsal_client_sock_connect:446)DBG:16:2902915113:7fff2c4dce90:0000:connectiontimeoutsetfor10seconds(SAL/netsal.
c:netsal_client_sock_connect:473)ChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDBG:17:2907804137:7fff2c4dce90:0000:SALNPCLOSENOTIFY:p=0x00/0morebuffered(SAL/channel-np.
c:_sal_np_ioctl:1312)DynamicFilter:Successfullydownloadedtheupdatefilefromurl1DynamicFilter:SuccessfullyfinishedluascriptDBG:18:2907804722:7fff2c4dce90:0000:Fiber0x7fff2c4dce90finishedleaving3more(FIBERS/fibers-jumpstart.
c:_fiber_jumpstart:64)DBG:19:2907804746:7fff2c4dce90:0000:Exitingfiber0x7fff2c4dce90(FIBERS/fibers.
c:fiber__kill:1287)DBG:20:2907804752:7fff2c4dce90:0000:Fiber0x7fff2c4dce90terminated,2more(FIBERS/fibers.
c:fiber__kill:1358)DynamicFilter:DownloadedfilesuccessfullyChannelNPp=0x00000000000000000/0morebufferedchannel-np.
cDynamicFilter:readramfsbytes2097152DynamicFilter:fileMD5verificationchecksucceededDynamicFilter:decryptkeysucceededDynamicFilter:decryptfilesucceededbyte=2097145DynamicFilter:updatingenginebytes=2097145DynamicFilter:metadatalength=2987INFO:DynamicFilter:updatesucceeded在此输出中,您能看到更新采取的这些步骤,当得到一个新的数据库时:更新提供援助对URLhttp://update-manifests.
ironport.
com为了确定哪个数据库下载.
q明显服务器返回下载的两个可能的URL.
q更新客户端下载数据库.
q数据库在内存解密并且存储供动态过滤过程使用.
q不同的更新服务器的连通性问题在此输出中表明作为错误并且帮助进一步排除故障.
迫使更新客户端以命令动态过滤器数据库取指令手工运行.
步骤2:保证DNS流量交叉此ASA僵尸网络ASA的数据流过滤器功能被建立匹配域的IP地址,因此ASA必须是根据穿程网络的DNS请求和答复.
一些拓扑也许造成DNS流量采取不包括有问题的ASA的路径.
多数网络有作为DNS转发器和缓存内部usrs的内部DNS服务器.
只要这些服务器,当他们转发一个DNS要求域他们时没拥有也不能应答为,寄请求给要求横断ASA的服务器,问题不应该发生.
请参阅这些拓扑有和没有内部DNS服务器:此拓扑示例显示指向内部DNS服务器的用户哪些转发到一个外部DNS服务器.
此拓扑示例显示指向直接地一个外部DNS服务器的用户.
在两个结构示例中,对运行Dns监听功能的一功能僵尸网络数据流过滤器部署的密钥是DNSA类记录要求外部域必须穿过ASA.
在内部服务器示例中,如果内部DNS服务器比用户计算机采取一个不同的网络路径为了到达互联网和在进程不横断ASA,Dns监听表不会包含用户计算机DNS请求和用户计算机威力造成的IP对域地图不被过滤正如所料.
请使用这些技术为了检查DNS流量穿过ASA:检查服务策略.
查看showservice策略输出为了确定DNS检查是否应用,配置与动态过滤器监听关键字,并且看到流量.
当您做DNS请求,数据包计数关联与DNS检查应该增加.
- 僵尸网络数据流过滤器问题用可适应安全工具相关文档
- 系统网通dns服务器地址
- 投标网通dns服务器地址
- 全球网通dns服务器地址
- 昌吉市电子政务外网网络防毒墙参数
- 磋商网通dns服务器地址
- 在重叠网络中使用
wordpress专业外贸建站主题 WordPress专业外贸企业网站搭建模版
WordPress专业外贸企业网站搭建模版,特色专业外贸企业风格 + 自适应网站开发设计 通用流行的外贸企业网站模块 + 更好的SEO搜索优化和收录 自定义多模块的产品展示功能 + 高效实用的后台自定义模块设置!采用标准的HTML5+CSS3语言开发,兼容当下的各种主流浏览器: IE 6+(以及类似360、遨游等基于IE内核的)、Firefox、Google Chrome、Safari、Opera...
快云科技,美国VPS 2H5G独享20M 仅售19.8/月 年付仅需148
快云科技已稳步运行进两年了 期间没出现过线路不稳 客户不满意等一系列问题 本司资质齐全 持有IDC ICP ISP等正规手续 有独特的网站设计理念 在前几天刚是参加过魔方系统举行的设计大赛拿获最佳设计奖第一名 本公司主营产品 香港弹性云服务器,美国vps和日本vps,香港物理机,国内高防物理机以及美国日本高防物理机 2020年的国庆推出过一款香港的回馈用户特惠机 已作为传家宝 稳定运行 马上又到了...
SugarHosts糖果主机商更换域名
昨天,遇到一个网友客户告知他的网站无法访问需要帮他检查到底是什么问题。这个同学的网站是我帮他搭建的,于是我先PING看到他的网站是不通的,开始以为是服务器是不是出现故障导致无法打开的。检查到他的服务器是有放在SugarHosts糖果主机商中,于是我登录他的糖果主机后台看到服务器是正常运行的。但是,我看到面板中的IP地址居然是和他网站解析的IP地址不同。看来官方是有更换域名。于是我就问 客服到底是什...
-
软银巨亏除了IPO,私募股权投资还有哪些退出方式浏览器哪个好浏览器哪个好 主流浏览器对比分析集成显卡和独立显卡哪个好集成显卡和独立显卡那个好?录屏软件哪个好有什么好用的录制屏幕的软件吗燃气热水器和电热水器哪个好燃气热水器好还是电热水器好?游戏盒子哪个好游戏盒子哪个好?行车记录仪哪个好我想买一个24小时监控行车记录仪,哪款比较好?51个人空间登录51个人空间怎么申请???辽宁联通网上营业厅的联通营业厅怎么走诛仙青云志360云盘资源诛仙青云志百全集百度云资源