我们的 IDS 检测到一个可疑的 DNS 数据包进入僵尸网络(或类似网络)。
由于该 DC 是递归中继,我们如何识别发出该请求的客户端。(Windows DNS 服务器)
如何识别哪台 PC 进行了可疑的 DNS 查询?
信息安全
视窗
dns
身份证
日志记录
事件响应
2021-09-10 07:44:52
1个回答
在本地 DNS 转发器(域控制器)上记录 DNS 请求是最简单的。阻止除域控制器之外的 TCP/UDP 端口 53 出站可让您确信只有它们才能进行递归 DNS 查找。
Netflow 是另一种选择,但需要大量数据存储,因为您要存储有关网络中所有 UDP 和 TCP 会话的生命周期和端点信息。
对于有效的 NSM(网络安全监控),您应该同时启用 DNS 日志记录和 Netflow,并且值得将两者都提前到位,因为不是标准做法的日志记录将被视为法庭诉讼中的传闻。你不能只是打开这些,收集东西,将其用作证据,然后再次关闭它们。