1、AF手册对AF蜜罐的解释很简单,也咨询了很多专家,回答的也很简单,就搜索论坛自己查找答案。
2、首先是AF对蜜罐的解释,蜜罐功能是在AF7.1及以上版本开始支持的,又名“恶意域名重定向”,该功能主要针对场景是内网存在DNS代理的环境,AF无法直接看到DNS请求的源IP。 3、论坛也有相关的疑问帖子,DNS检测到僵尸无法判定源客户端信息 http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=59464&highlight= 4、对比疑问帖子,最后在智能客服慧慧那里找到了最直观的解释 5、也就是,根据你的AF部署模式和网络架构,内网存在DNS代理+客户端恶意域名访问的时候,开启才有效果。
社区智能服务小组_慧慧 Lv10
您好,配置恶意域名重定向,其中“当前为DNS代理服务器部署场景“这句话,
是指把防火墙启用DNS代理吧?——这句话的意思,是看客户设备内网中是否存在dns服务器,内网pc的dns都由该dns服务器所代理
这个时候AF就需要开启恶意域名重定向,否则AF识别不到真实的僵尸主机,看到的僵尸主机都是dns服务器,因为内网的dns访问都是由其做的代理 |
|