我是資深菜鳥工程師,又有好奇的問題了。
這邊的 DNS Server 有時會被通報「內部主機觸發大量IPS已阻擋事件」,而被通報的原因是「DNS: ISC BIND RRSIG Record Response Assertion Failure Denial of Service」,Server 是 Windows 2019 ,裡面好像有個 BIND 的選項,不過沒有被勾起來。
想知道兩件事:
1.什麼原因會發生此一通報?真的是去攻擊人家?被當跳板?
2.來源 IP 會怎麼處理?我有查了兩個 IP ,一個好像是一般電腦,中華電信的 IP ,另一個不太記得詳細資訊,不過好像也是一台 DNS Server ,目前負責網路的同事是把來源 IP 阻擋掉,不知道這樣處理方式合適嗎?
謝謝!
已邀請的邦友 {{ invite_list.length }}/5
恩... 正常是你內部PC都用你的AD DNS去做域名翻譯
所以大多數情況是你內部PC先受感染, 再用你的AD去抓有問題的DNS
而不是AD真的被感染
你最簡單處理方法是在AD上新增和強制指定1.1.1.2, 1.0.0.2作為FORWARDER
看看問題有沒改善
1.1.1.2, 1.0.0.2是CLOUD FLARE的DNS, 有免費的MALWARE過瀘功能
謝謝回覆,好像漏掉沒看到這則。
目前的架構有分內部 DNS (也是AD) 跟外部 DNS (純 DNS) ,
這幾天又被發通報
外部 DNS
通報名稱:內部主機觸發大量IPS已阻擋事件
原始紀錄:DNS: ISC BIND RRSIG Record Response Assertion Failure Denial of Service
內部 DNS
通報名稱:疑似後門程式操作(未阻擋)
原始紀錄:DNS: Multiple ANY Type DNS Queries Observed
有沒有什麼辦法去查詢發生的原因呀?
做DNS SINKHOLE
正常你會發現自己AD一直在QUERY一個怪怪的名子
這名子就是TRIGGER IPS的東西
你在AD上新增一個A RECORD針對這名子翻譯成一個特別的IP, 比如7.7.7.7
再到你防彈火牆把到7.7.7.7的TRAFFIC BLOCK跟LOG
跟據LOG的結果就知道那個IP用戶出事了
iThome鐵人賽
看影片追技術