建议增加详细的客户端DNS请求记录

KYLE_K 2153

{{ttag.title}}
本帖最后由 KYLE_K 于 2016-8-24 10:29 编辑

设备现状:
               现在设备的智能DNS功能,只能看到客户端的DNS请求次数,看不到详细的DNS客户端请求记录。详细的DNS记录包括:DNS客户端的源地址、AD收到DNS请求包的时间、AD回复客户端DNS请求的时间等信息。

建议增加这功能,主要是基于以下两个需求:

1.可以判断DNS请求到底是内网地址还是外网地址发起的请求,如果内网地址通过DNS请求对AD进行攻击,可以通过AD找到攻击源。例如黑客入侵了大量的内部机器,内部机器对AD发起大量频繁的DNS请求,因为DNS通信是UDP包,并且数据包小,即使发起攻击,对内网通信几乎没有影响,从内网流量上看很难察觉

2.通过精确的DNS客户端请求记录,可以判断网络是否受到DDOS攻击。例如通过DNS客户端请求记录,看到一分钟内有上万的外国IP对AD发起DNS请求,几乎可以判断AD受到了DDOS攻击。AD可能直接就部署在网络出口,DDOS包没有经过防火墙,防御也就比较麻烦。这些记录也可以提供给客户,作为是否需要购买运营商流量清洗服务的依据。毕竟运营商的流量清洗服务并不便宜,客户不可能在没有任何实质依据的情况下购买流量清洗服务

建议再增加智能请求DNS告警
即如果AD发现有大量的非常规IP的DNS请求,可以发送告警信息给对应的运维人员,使运维人员可以快速判断是否受到ddos攻击

和楼主有同感吗?赶快顶起来助力研发哥快速完善!

发表的建议被采纳即可获得100-1000S豆不等,如果您在建议专区表现活跃,可获得产品顾问荣誉勋章!了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

AD产品规划团队2 发表于 2016-8-24 15:28
  
【不采纳】

感谢提出建议。DNS的应答记录数量会比较庞大,分析过程会遇到困难,未必是很好的解决方案。
建议开启AD的网络安全防护,后续新版本还会对DDOS模块进行改进,丰富统计数据等信息,欢迎关注。
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
每日一问
产品连连看
标准化排查
干货满满
新版本体验
纪元平台
社区新周刊
GIF动图学习
自助服务平台操作指引
技术咨询
功能体验
解决方案
社区帮助指南
秒懂零信任
每周精选
S豆商城资讯
技术盲盒
信服课堂视频
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人