我们的 Cisco Umbrella 服务将对 rev1.globalrootservers.net 和 rev2.globalrootservers.net 的 DNS 请求识别为恶意请求。我试图弄清楚这是否真的是一个问题,或者是否是误报。以下是我执行的所有故障排除。
恶意的唯一指标是 OpenDNS 指出 globalrootservers.net 域是恶意软件,而 VirusTotal-Fortinet 也报告 rev2.globalrootservers.net 是恶意软件。rev1 和 rev2 DNS 名称的所有指针当前都指向 0.0.0.0 作为 IP。globalrootservers.net
的 otx.alienvault.com 被动 DNS 条目(图 3)会不时更改,并且 IP 解析为各种不知名的域。
由于我们没有部署 Umbrella VA,我清除了缓存并在两个域控制器上打开了 DNS 日志记录。我只从 2016 域控制器中捕获了 DNS 命中的证据。在多天内多次捕获请求和响应(图 1 和 2)之后,它始终不是来自 2012 域控制器。看起来源是我们的 2016 域控制器,我不知道这是为什么。如果有人能告诉我这是正确的,我会在下面添加条目。
图 1:DNS 请求
图 2:DNS 响应
然后我转到 2016 域控制器缓存并查看条目。来自 in-addr 文件夹的条目如下。有人能帮我理解这是什么意思吗?
由于 rev1.globalrootservers.net 和 rev2.globalrootservers.net 条目是 DNS 父项(表示 afrinic.net、lacnic.net、apnic.net、ripe.net 和 arin.net)的子项,所以这没什么可担心的吗?
图 3:父缓存条目
图 4:Rev1 和 Rev2 子条目
图 5:rev1 和 rev2 的属性
此外,查找位于 rev1 和 rev2 缓存属性中的 IP 地址时,它指向 Microsoft,它是 20.64.0.0/10 IP 范围内的 Azure SQL 托管实例。
我将非常感激任何帮助,以确定这是否是一个真正的问题、解决方案或进一步排除故障。谢谢!
答案1
经过几天的日志收集,我终于找到了问题所在。发起请求来自 85.93.20.247:8080。防火墙阻止了该请求,稍后尝试对 IP 执行反向查找。无法解析,最终转到我们 DNS 服务器上的根提示解析器,最终将其解析为 rev1.globalrootservers.net 和 rev2.globalrootservers.net。然后我们的 DNS 服务器对域执行查找,OpenDNS 将其标记为恶意软件。
为了防止此类事情再次发生,我禁用了 DNS 属性中转发器选项卡下的“如果没有可用的转发器,则使用根提示”复选框,以禁止使用根提示。我们希望只使用 OpenDNS 和其他经过审查的 DNS 服务器,而不是根提示。如果这些 DNS 转发器无法解析域,我们不希望该域被解析。