1676537285,

组网及说明

无

告警信息

无

问题描述

终端访问恶意域名，客户需要将该dns请求拦截。域名为adnetwork33.redirectme.net。

过程分析

（1）IPS自定义特征库:

alert udp any any -> any 53 (msg:" DNS Query for adnetwork33.redirectme.net "; content:"adnetwork33|0a|redirectme|03|net"; nocase; classtype:trojan-activity; sid: 7002821; rev:1;)

上述信息放在一个txt，然后命名后缀改成.rules

（2）入侵防御--特征--导入snort特征库；

（3）新增配置文件， 针对这个手工添加的IPS特征，在新增配置文件里更改一下预定义动作，设置为丢弃。最后在安全策略中调用。

（4）测试后，产生相应的威胁日志，并阻断该dns请求。

解决方法

见上分析

CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。本文来源：知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,防火墙拦截固定dns请求