Cisco Umbrella 將 DNS 請求識別為惡意且看起來像是來自我們的網域控制站

Cisco Umbrella 將 DNS 請求識別為惡意且看起來像是來自我們的網域控制站

我們的 Cisco Umbrella 服務將對 rev1.globalrootservers.net 和 rev2.globalrootservers.net 的 DNS 請求識別為惡意請求。我試圖弄清楚這是否確實是一個問題,或者是否是誤報。以下是我執行的所有故障排除。

唯一的惡意指標是 OpenDNS 指出 globalrootservers.net 網域是惡意軟體,而 VirusTotal-Fortinet 也報告了 rev2.globalrootservers.net 的惡​​意軟體。目前,rev1 和 rev2 DNS 名稱的所有指標都指向 0.0.0.0 作為 IP。

globalrootservers.net 的 otx.alienvault.com 被動 DNS 條目(圖 3)會不時發生變化,並且 IP 解析為各種信譽不佳的網域。

由於我們沒有部署 Umbrella VA,因此我清除了快取並在兩個網域控制站上開啟了 DNS 日誌記錄。我僅從 2016 年的網域控制站中發現了 DNS 命中的證據。在多天內多次捕獲請求和回應(圖 1 和圖 2)後,它從未來自 2012 年的網域控制器。看起來源是我們 2016 年的網域控制器,我不明白這是為什麼。如果有人能告訴我這是正確的,我已在下面添加了條目。

圖 1:DNS 請求
在此輸入影像描述

圖 2:DNS 響應
在此輸入影像描述

然後,我轉到 2016 網域控制器快取並查看條目。 in-addr 資料夾中的條目如下。有人可以幫助我理解這代表什麼嗎?

由於 rev1.globalrootservers.net 和 rev2.globalrootservers.net 條目是 DNS 父項(表示 afrinic.net、lacnic.net、apnic.net、ripe.net 和 arin.net)的子項,因此無需擔心關於?

圖3:父緩存條目
在此輸入影像描述
圖 4:Rev1 和 Rev2 子條目
在此輸入影像描述
圖 5:rev1 和 rev2 的屬性
在此輸入影像描述

此外,當尋找 rev1 和 rev2 快取屬性中的 IP 位址時,它指向 Microsoft,它是 20.64.0.0/10 IP 範圍內的 Azure SQL 託管執行個體。

如果您能幫助我確定這是否是真正的問題、解決方案或進一步排除故障,我將不勝感激。謝謝你!

答案1

經過幾天的日誌收集,我終於發現了問題。發起請求是從 85.93.20.247:8080 發生的。防火牆會封鎖該要求,稍後會嘗試對 IP 執行反向查找。它無法被解析,最終會轉到我們 DNS 伺服器上的根提示解析器,最終將其解析為 rev1.globalrootservers.net 和 rev2.globalrootservers.net。然後,我們的 DNS 伺服器對網域執行查找,OpenDNS 將其標記為惡意軟體。

為了防止此類事情再次發生,我在 DNS 屬性中的轉發器標籤下停用了「如果沒有可用的轉發器,則使用根提示」複選框,以禁止使用根提示。我們只想使用 OpenDNS 和其他經過審查的 DNS 伺服器,而不是根提示。如果這些 DNS 轉發器無法解析網域,我們不希望解析該網域。

相關內容