说明：

当探针收到镜像数据是内网DNS代理后的数据时，会将DNS服务器判断为风险主机或业务，无法定位到真实的问题业务。

思路：镜像内网DNS代理之前的数据，及PC或业务到内网DNS这段的数据。抓内网DNS服务器地址和53端口的数据包。

若内网DNS服务器IP即为源，又为目的，说明DNS服务器前后的流量都镜像到了，需要将DNS服务器地址作为源地址加入安全白名单。

若内网DNS服务器IP只为目的，说明镜像的流量都是DNS服务器之前的流量，则表明镜像正确。

若内网DNS服务器IP只为源，则表明镜像的数据只有代理后的，需要重新镜像，如果由于实际网络环境等其他客观原因无法调整镜像位置的，需要按照通过其他手段将DNS服务器的日志发送给SIP(SIEM模块)，同时将DNS服务器作为源地址加入到白名单，下面按照这种思路展开说明。