常見問題

[資安問題] DNS嘗試解析惡意domain事件處理


近期重複開單之事件中有部分為DNS伺服器嘗試解析已知的惡意domain,可能為內部使用者透過單位DNS伺服器嘗試解析惡意domain所致,可遵循以下步驟查詢嘗試解析惡意domain之使用者:

—確認DNS伺服器僅允許單位內使用者進行遞迴查詢 
—DNS伺服器上針對事件告知的惡意domain作封鎖 。
—DNS伺服器上建立log機制以查出嘗試解析惡意domainIP 。
—對使用該IP之主機進一步檢查以排除問題 。
 

Bind9 query log設定:

—Bind9 query log設定於named.conf中的logging段加入設定:
            logging {
                        category queries { query-log;};
                        channel query-log {
                                    file "/var/log/query.log" versions 10 size 1000m;
                                    severity info;
                                    print-time yes;
                                    print-severity yes;
                                    print-category yes;
                        };
            };
—設定完成後須重啟服務service named restart 。

 

Bind9 阻擋特定domain解析設定方式:

—修改named.conf加入想要阻擋domain,ex:zone “test.com” { type master; file block.db"; }; 。
—新增block.dbzonefile,加入*  IN  A  127.0.0.1”之正解 。
—設定完成後須重啟服務service named restart 。
—使用dig指令測試是否生效:dig test.com @127.0.0.1 ,若回應為 test.com IN A 127.0.0.1 即為設定正確 。
 

 

 

 

 

回上頁