DNS服务器位于内部网,在firewall也启用了恶意域名重定向(重定向到默认的深心服蜜罐),但当客户端访问僵尸网站时,DNS服务器做解析会被防火墙检测到,但日志显示的源IP是DNS服务器的,无法知道真实客户端的IP。 不知是否可以看到真实的客户端IP地址呢?
时间: | 2018-12-19 09:58:03 | 类型: | 僵尸网络 | 协议: | UDP | URL/目录: | tecate.traduires.com | 源区域: | LAN | 源IP/用户: | 192.168.xxx.xxx
| 所属组: | - | 源端口: | 50789 | 目的区域: | WAN_电信 | 目的IP: | - | 目的IP归属地: | - | 目的端口: | 53 | 匹配策略名: | 访问Internet | 严重等级: | 高 | 动作: | 拒绝 | 描述: | 试图解析僵尸网络C&C服务器tecate.traduires.com的地址,域名解析地址已被重定向为蜜罐地址 |
|