更新时间:2022-07-29
说明:
当探针收到镜像数据是内网DNS代理后的数据时,会将DNS服务器判断为风险主机或业务,无法定位到真实的问题业务。
思路:镜像内网DNS代理之前的数据,及PC或业务到内网DNS这段的数据。抓内网DNS服务器地址和53端口的数据包。
若内网DNS服务器IP即为源,又为目的,说明DNS服务器前后的流量都镜像到了,需要将DNS服务器地址作为源地址加入安全白名单。
若内网DNS服务器IP只为目的,说明镜像的流量都是DNS服务器之前的流量,则表明镜像正确。
若内网DNS服务器IP只为源,则表明镜像的数据只有代理后的,需要重新镜像,如果由于实际网络环境等其他客观原因无法调整镜像位置的,需要按照通过其他手段将DNS服务器的日志发送给SIP(SIEM模块),同时将DNS服务器作为源地址加入到白名单,下面按照这种思路展开说明。