内网资产长时间请求恶意域名问题排查思路分享

问题现象:

某客户近期在SIP、AF上观察到内网资产:部分业务系统(已装aES)、aES管理平台、楼层交换机等，不规律，阶段性的请求恶意域名，触发安全设备告警。

         

         

排查思路:

1、优先使用aES对业务系统进行全盘杀毒，未发现业务系统本地有病毒文件。

2、在探针上进行楼层交换机抓包分析，因源IP、DNS请求时间不固定，故需要长时间抓包同时进行以下思路排查

3、aES管理平台协助400进行后台程序、端口观察分析未发现异常

4、交换机厂商也分析交换机日志未发现异常

5、aES二线大佬提出可能是由于平台配置DNS服务器114多回报文并携带恶意域名导致安全设备触发告警，并不是平台主动请求

6、等待一晚上后停止抓包，分析抓包文件，确实是因为114多回携带恶意域名的报文导致安全设备告警，后续复盘告警信息，aES平台DNS改成223.5.5.5也会出现这个问题。

      

目前结论：

由于DNS服务器多回携带恶意域名的报文导致安全设备告警，涉及资产都统一改成内网DNS(客户内网有DNS硬件设备)再持续观察，并协调DNS厂商看看DNS设备能不能解决这种情况。