功夫:2022-05-13 作者:尊龙凯时
近年来,,,,,随着虚构钱币地下买卖的热度越来越高,,,,,挖矿木马病毒也成泛滥之势。。。。。。。大量企事业单元的电脑终端、业务服务器频仍中招,,,,,造成电力浪费、亏损服务器机能资源导致业务不能正常运行,,,,,尤其是好多挖矿木马还存在后门文件,,,,,后续方便攻击者进行网络渗入攻击,,,,,执行诸如勒索病毒传布、数据窃取等比挖矿越发严沉的安全事务。。。。。。。

同时,,,,,国度层面也陆续出台关于挖矿治理的政策文件,,,,,好比2021年9月国度发改委等部门结合颁布了《关于整治虚构钱币“挖矿”活动的通知》,,,,,要求各省市建造度、抓监测,,,,,对本区域挖矿活动进行治理。。。。。。。各类监管机构起头加大对被监管单元出现挖矿活动的监测和传递力度。。。。。。。被监管单元面对极度大的被传递压力。。。。。。。
那么针对以上问题,,,,,尊龙凯时智慧防火墙是若何解决的呢???????
防火墙利用天然网络天堑串接的部署模式,,,,,再加上内置威胁谍报及云端海量谍报库,,,,,就能够阻断挖矿主机要求矿池服务器IP地址的DNS要求,,,,,并定位内网的挖矿主机。。。。。。。

达到如下成效:
1、利用DNS解析和URL接见流量与威胁谍报IOC的碰撞,,,,,急剧定位挖矿主机。。。。。。。?????D芄涣斓加没Ф阅谕姓蟹务器进行精准查杀和措置。。。。。。。
2、通过威胁谍报预置作为,,,,,直接阻断挖矿主机与矿池的接见衔接以及DNS要求。。。。。。。?????D芄欢峡牖チ蟪氐耐ㄑ叮,,,,同时预防被监管单元传递。。。。。。。
一、本地无DNS服务器,,,,,防火墙部署在出口
1、防火墙开启威胁谍报检测
2、高级配置选择DNS阻断
3、挖矿主机必要衔接矿池,,,,,要先进行矿池域名解析,,,,,防火墙检测到DNS要求匹配了威胁谍报,,,,,直接阻断DNS要求,,,,,达到阻断主张,,,,,预防被监管单元传递。。。。。。。
4、同时凭据要求源地址,,,,,象征失陷主机。。。。。。。

这时有同学可能会想到,,,,,若是客户内网有自己搭建的本地DNS服务器,,,,,防火墙在天堑出口处能阻断恶意域名的DNS解析,,,,,但由于DNS要求均是本地DNS服务器代理提议的,,,,,防火墙就无法定位到内网真正失陷的挖矿主机了。。。。。。。
别焦急,,,,,你想到的问题防火墙也已经有规划来助你解决了,,,,,我们来看第二种防护场景:
二、本地有DNS服务器,,,,,防火墙部署在出口
1、防火墙开启威胁谍报检测
2、高级配置选择DNS Sinkhole(不知路DNS Sinkhole什么意思???????别焦急,,,,,看文末彩蛋就能涨知识),,,,,配置IPV4/IPV6 sinkhole地址。。。。。。。
3、挖矿主机先进行矿池域名解析,,,,,防火墙检测本地DNS服务器到表网的DNS要求匹配了威胁谍报后,,,,,防火墙自动机关DNS response,,,,,从sinkhole地址池当选择的一个地址进行DNS回应
4、同时防火墙将恶意域名和其对应的IP纪录到IOC缓存
5、当挖矿主机收到DNS回应,,,,,向sinkhole地址提议恶意接见衔接,,,,,防火墙凭据流量中的主张地址查问IOC缓存,,,,,若是射中,,,,,象征失陷主机并阻断其接见衔接。。。。。。。

Tips1:DNS Sinkhole(DNS沉洞),,,,,别名网络沉洞或者黑洞DNS,,,,,是指DNS服务器给出谬误信息,,,,,从而预防接见特定域名。。。。。。。通常是由安全厂商或运营商在发现某一域名要求被判定为恶意域名后,,,,,将其正本解析到ip地址调换到无害的ip地址的技术,,,,,因而受害主机不会再被c&c服务器节造,,,,,同时还能够通过对被Sinkhole域名的接见流量监控,,,,,达到定位当前失陷主机的成效。。。。。。。
Tips2:DNS Sinkhole的配置如下图

Tips3:DNS Sinkhole职能需保障内网终端接见DNS sinkhole地址的流量必须经过防火墙。。。。。。。
旗下网站
95015服务热线
微信公家号
立即拨打