مشاكل رؤية حزمة البحث عن DNS/PTR في لقطات حزمة FTD 7.4
مسألة
عند حظرها بواسطة معلومات الأمان، لا يعرض التقاط حزمة حماية تهديد جدار الحماية (FTD) استعلامات DNS إلى المجالات الضارة التي يتم حظرها بواسطة معلومات أمان FTD. تظهر أحداث الاتصال الموجودة على النطاق FTD حركة مرور البيانات من خادم DNS الذي يقوم بالاستعلام عن المجال وتؤكد أن FTD يقوم بحظر استجابات الاستعلام هذه عبر معلومات الأمان. ومع ذلك، يظهر نفس الحدث أيضا تطابق على قاعدة نهج الوصول إلى FTD غير متوقعة بشكل نموذجي. يظهر أن المشكلة تتعلق بكيفية تفاعل حزم بحث معلومات الأمان و PTR (عكس DNS) على FTDs عند حظر استعلامات المجال الضارة. يمكن أن يظهر هذا حدثا يطابق كلا الاحتمالين قاعدة الوصول والإستخبارات الأمنية.
البيئة
- Cisco Secure Firewall Firepower 7.4 (مركز إدارة Firepower (FMC) / CDfmc / FDM) (قابل للتطبيق على جميع الأنظمة التي تستخدم ذكاء الأمان)
- إصدار البرنامج: 7.4.2 / 7.4.2.4 (قابل للتطبيق على جميع الأنظمة التي تستخدم معلومات أمنية)
- حركة مرور بيانات DNS الخاصة بمراقبة جهاز أمان FirePOWER الموجود في النطاق بين خادم InfoBlox DNS وسحابة CIRA
- تكوين معلومات الأمان لحظر تهديدات التنقيب عن تشفير DNS
- مخطط معملي يتضمن أجهزة FPR2110 و FPR2100 لإعادة الإنتاج
- استعلام DNS الذي يستهدف المجال: static.vdc.vn
- تصنيف التهديد: تهديد التعدين المشفر لنظام أسماء النطاقات
- تحليل أحداث التقاط الحزم والاتصال على جهاز FirePOWER
- خادم InfoBlox DNS كبنية DNS داخلية
قرار
1. قم بتحليل أحداث الاتصال على FTD لتأكيد حظر إستفسارات DNS من خادم DNS إلى المجال الخارجي من قبل "معلومات الأمان" بسبب وجود مجال ضار. يتم ملاحظة عنوان IP للمصدر والوجهة المحددة ويمكن للحدث وضع تطابق على قاعدة سياسة الوصول التي تسمح بالبحث الأولي ل PTR من المصدر إلى الوجهة. ومع ذلك، يظهر الحدث نفسه أيضا معلومات أمنية محظورة أثناء تحديد عنوان URL للاستعلام بشكل واضح.
حدث اتصال
مثال:
المجال: ساكن إستاتيكي.vdc.vn
الإجراء: محظور (تهديد تعدين تشفير DNS)
2. ابدأ التقاط حزمة على FTD الذي يستهدف حركة مرور DNS بين عناوين IP ذات الصلة. في تحليل Wireshark لالتقاط من عنوان IP الأصلي، لم يتم العثور على استعلام DNS خصيصا للمجال الضار في إخراج التقاط الحزمة.
FTD# على واجهة CAP المطابقة لمضيف UDP SRCIP المضيف EQ 53
(لا يوجد إخراج للحزم المتوقعة)
وفقا لوثائق Cisco، تكون تصفية معلومات الأمان مرحلة مبكرة من التحكم في الوصول. إذا تطابقت حزمة مع قائمة كتلة معلومات أمنية، يمكن إسقاطها قبل مزيد من الفحص وقبل معالجتها بواسطة سياسات أخرى (بما في ذلك التحكم في الوصول، والتقاط الحزم، وفحص DNS).
يتم تصفية معلومات الأمان قبل الفحص الذي يتطلب موارد كثيرة.
لا يتم في بعض الأحيان التقاط الحزم المحظورة بواسطة معلومات الأمان بواسطة آليات التقاط الحزم القياسية على الجهاز.
تم تقييم قواعد عامل التصفية المسبق قبل أن يؤثر ذكاء الأمان أيضا على الرؤية.
3. أستخدم الأمر system support url-si-debug في CLISH ل FTD لتتبع عمليات بحث PTR بين عناوين IP المصدر والوجهة لفهم كيفية وأين تتم معالجة حركة المرور وحظرها داخل FTD وملاحظة منافذ المصدر للحزم.
> دعم النظام url-si-debug
بروتوكول SRCIP 37046 ->؛ DSTP 53 17 as=0 id=39 gr=1-1 InsightDnsListEventHandler: num_list_match [1]، status 0x00010000، insight_find (0x00010000) | SHMDB (1)، static.vnpt.vn، si_list [ 1048652]
بروتوكول SRCIP 49094 ->؛ DSTP 53 17 as=0 id=42 gr=1-1 InsightDnsListEventHandler: num_list_match [1]، status 0x00010000، insight_find (0x00010000) | SHMDB (1)، static.vnpt.vn، si_list [ 1048652]
بروتوكول SRCIP 48508 ->؛ DSTP 53 17 as=0 id=12 gr=1-1 InsightDnsListEventHandler: num_list_match [1]، status 0x00010000، insight_find (0x00010000) | SHMDB (1)، static.vnpt.vn، si_list [ 1048652]
4. أستخدم منافذ المصدر كمرجع لربط عمليات التقاط الحزم والسجلات من تتبع دعم النظام. هذه هي أفضل طريقة للبحث عن نقاط الوصول المقترنة. كما يظهر في هذا المثال التالي، تظهر الحزم ذات الصلة كعمليات بحث PTR (DNS العكسي) بدلا من استعلامات DNS العادية. وهذا هو السبب في عدم العثور على استعلام المجال الضار عند النظر إلى عمليات الالتقاط من عنوان IP الأصلي. تصيب هذه الأنواع من الحزم نهج الوصول الذي يظهر على حدث حتى إذا ظهر نفس الاتصال كمحجوب من قبل إستخبارات الأمان.
8847 2026-01-29 20:41:15.940854z SRCIP DSTP DNS 98 Standard Query 0x20ef PTR 23.172.189.113.in-addr.arpa OPT
9582 2026-01-29 20:41:18.34889Z SRCIP DSTP DNS 98 Standard Query 0x8b58 PTR 23.172.189.113.in-addr.arpa OPT
10190 2026-01-29 20:41:21.556901Z SRCIP DNS 98 Standard Query 0x636a PTR 23.172.189.113.in-addr.arpa OPT
11362 2026-01-29 20:41:24.652950Z SRCIP Dstp DNS 99 Standard Query 0xf6f5 PTR 135.238.166.113.in-addr.arpa OPT
13670 2026-01-29 20:41:27.964885Z SRCIP Dstp DNS 98 Standard Query 0xfb40 PTR 23.172.189.113.in-addr.arpa OPT
5. راجع حزم الرد على عمليات بحث PTR هذه من الوجهة والمجال الضار. يؤدي ذلك إلى تشغيل FTD لحظر الاتصال بشكل نهائي بواسطة ذكاء الأمان كما يظهر الآن المجال الضار.
981 2026-01-29 20:41:12.631818Z DSTP SRCIP DNS 126 static.vnpt.vn إستجابة الاستعلام المعيارية 0xc5c3 PTR 23.172.189.113.in-addr.arpa PTR static.vnpt.vn OPT
التنسيق مع فريق العميل للتحقق مما إذا تم ملاحظة أي استعلامات DNS عكسية أو أنماط حركة مرور غير متوقعة لعناوين IP معينة مرتبطة بتهديد جمع التشفير. للسماح بحركة مرور معينة أو تحليلها بشكل إضافي، قم بإضافة عناوين IP المطلوبة إلى قائمة عدم الحظر أو السماح عبر عامل التصفية المسبق حسب الاقتضاء. يمكن أن يسمح ذلك بإجراء فحص لاحق وإمكانية الرؤية في التقاط الحزم.
إضافة عناوين IP إلى قائمة عدم الحظر الخاصة باستخبارات الأمان إذا كان هناك حاجة لمزيد من التحليل.
السماح بدخول التصفية المسبقة يسمح لحركة المرور بتجاوز كتلة معلومات الأمان.
السبب
السبب الجذري هو أن بحث PTR (DNS العكسي) يمر من خلال قاعدة FTD مبدئيا بواسطة قاعدة الوصول لأنها لا تزال في انتظار فحص ذكاء الأمان. تحتوي حزمة الاستجابة للبحث عن PTR بعد ذلك على اسم المجال الضار. عندما تتطابق إستجابة PTR مع إدخال قائمة حظر ذكاء الأمان (مثل المقترن بتهديد التنقيب عن تشفير DNS)، يتم إسقاط الحزمة. ونتيجة لذلك، يتم العثور على المجال الضار فقط في الرد على بحث PTR وتظهر الأحداث في بعض الأحيان تطابق على كل من قاعدة السماح بالوصول وكتلة لذكاء الأمان.
المحتوى ذي الصلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
31-Mar-2026
|
الإصدار الأولي |
التعليقات