常見問題
[資安問題] DNS嘗試解析惡意domain事件處理
近期重複開單之事件中有部分為DNS伺服器嘗試解析已知的惡意domain,可能為內部使用者透過單位DNS伺服器嘗試解析惡意domain所致,可遵循以下步驟查詢嘗試解析惡意domain之使用者:
確認DNS伺服器僅允許單位內使用者進行遞迴查詢 。
於DNS伺服器上針對事件告知的惡意domain作封鎖 。
於DNS伺服器上建立log機制以查出嘗試解析惡意domain之IP 。
對使用該IP之主機進一步檢查以排除問題 。
Bind9 query log設定:
Bind9 query log設定於named.conf中的logging段加入設定:
logging {
category queries { query-log;};
channel query-log {
file "/var/log/query.log" versions 10 size 1000m;
severity info;
print-time yes;
print-severity yes;
print-category yes;
};
};
category queries { query-log;};
channel query-log {
file "/var/log/query.log" versions 10 size 1000m;
severity info;
print-time yes;
print-severity yes;
print-category yes;
};
};
設定完成後須重啟服務:service named restart 。
Bind9 阻擋特定domain解析設定方式:
修改named.conf加入想要阻擋的domain,ex:zone “test.com” { type master; file “block.db"; }; 。
新增block.db的zonefile,加入“ * IN A 127.0.0.1”之正解 。
設定完成後須重啟服務:service named restart 。
使用dig指令測試是否生效:dig test.com @127.0.0.1 ,若回應為 test.com IN A 127.0.0.1 即為設定正確 。
回上頁