ファイアウォールログのGoogle DNS
ファイアウォールログを表示していて、IP 8.8.8.8に遭遇しました。さらにチェックすると、Google DNSに属していることがわかります。そして、そのようなトラフィックは、一部のLANセグメントPCから出ています。ここから、それが合法的なトラフィックであるかどうかをどのように判断する必要がありますか? SIEM製品をまだインストールしていません。次善の策は、各PCに物理的に行って影響をチェックすることですか?一方、Webブラウザーのいくつかのバージョンを使用すると、これが発生しますか?
ほとんどの場合、別の管理者または一部のユーザーが、GoogleのDNSサービス(IPアドレス8.8.8.8および8.8.4.4にある)を使用するようにコンピューターを設定しています。それはおそらく心配することではありません。ファイアウォールにパケットキャプチャ機能がある場合は、キャプチャを実行してから、Wiresharkでキャプチャファイルを開いてトラフィックを検査し、それが実際にDNSであり、クエリがマルウェアドメインに対するものでないことを確認できます。ファイアウォール/ルーターのいずれもパケットキャプチャを実行できない場合は、物理的にコンピューターにアクセスしてDNS設定を確認するか、ユーザーに変更を依頼するのが最も簡単な場合があります。
コンピューターの管理者権限が付与されている場合は、コンピューターに必要なDNSプロバイダーを選択できます。
DNS要求の唯一の目的は、完全修飾ドメイン名(FQDN)のIPを取得すること、つまりwww.google.frを何らかのIPアドレスに変換することです。
マシンのネットワークを管理している場合、次のことを行う必要があります。
- 無許可のサーバーでDNSリクエストを完全にブロックします(例:独自のDNSサーバーをホストしている場合)
- dNSサーバーへのトラフィックが実際にはDNSリクエストであるかどうかを確認します。
- 自動IP構成を使用するクライアントが許可されたDNSサーバーのアドレスを受信できるように、DHCP応答にDNSエントリを必ず提供してください。