• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

imc向设备发送DNS请求,产生域名型DNS隧道通信

4天前提问
  • 0关注
  • 0收藏,117浏览
粉丝:0人 关注:0人

问题描述:

4 个回答
粉丝:219人 关注:0人

iMC 主动发起*.10.in-addr.arpa批量反向解析是平台正常运维行为,并非恶意 DNS 隧道:
  1. iMC 资产扫描功能:纳管 10 段内网设备时,通过反向 DNS 查询获取设备主机名、域名标签,完善资产台账;
  2. 日志溯源功能:设备上报日志仅携带 IP,iMC 通过 PTR 反向解析补全设备域名用于报表审计;
  3. 拓扑发现组件:全网扫描阶段批量遍历内网 IP 段,生成大量x.x.x.10.in-addr.arpa查询请求;
  4. UEBA 行为模型缺陷:引擎规则将高频批量反向 DNS 查询与恶意隧道行为特征混淆,判定为高危 C2 通信。

怎么不让平台发起DNS协议解析,我看大部分是拓扑发现组件的后台进程,是不是关闭拓扑发现就可以

Aprilboy 发表时间:4天前 更多>>

怎么不让平台发起DNS协议解析,我看大部分是拓扑发现组件的后台进程,是不是关闭拓扑发现就可以

Aprilboy 发表时间:4天前
粉丝:0人 关注:0人
粉丝:25人 关注:1人

你提到的这个情况,通常是指第三方安全平台监测到iMC服务器有异常的DNS请求行为,并将其标记为潜在的“DNS隧道”通信。

这通常不是iMC本身存在恶意行为,而更可能是其正常的网络功能触发了安全设备的告警规则

📌 可能的原因

iMC作为网络管理平台,会因以下正常功能向设备或DNS服务器发起查询:

  • 设备纳管与识别:iMC会通过DNS解析设备发送的域名或主机名,以识别和纳管网络设备。

  • 配置了基于域名的对象:如果在防火墙上配置了基于域名的对象组,防火墙自身会向DNS服务器请求解析,这也会产生DNS流量。

  • Portal认证:在Portal认证流程中,终端设备也会向配置的DNS服务器发起域名解析请求。

  • 系统或第三方组件:iMC服务器操作系统或其上运行的其他软件,也可能产生DNS查询。

安全设备可能会将这些正常的、持续的DNS查询流量,误判为用于数据外传的“DNS隧道”行为。

🔧 排查与解决建议

建议按以下步骤排查和处理:

  1. 确认告警来源
    首先,在安全平台上查看详细的告警日志,确认是iMC服务器的哪个进程或服务发起了DNS请求,以及请求的目标域名和频率。

  2. 检查iMC基本配置
    这是最优先的排查方向。检查iMC服务器操作系统网卡配置中的DNS服务器地址。如果配置了不必要或异常的DNS,可以将其移除或更正。

  3. 调整网络设备及安全策略

    • 放行必要流量:如果确认是iMC的正常管理流量,可以在防火墙上配置策略,放行iMC服务器IP对可信DNS服务器的UDP 53端口流量

    • 配置DNS源接口:如果网络环境对DNS报文的源地址有要求,可以在交换机或路由器上使用 dns source-interface 命令,为DNS报文指定固定的源接口

  4. 在安全平台添加例外规则
    如果确认告警为误报,最彻底的解决方式是在第三方安全平台上,为iMC服务器的IP地址或相应的DNS请求特征添加白名单或例外规则,不再对其告警。

粉丝:23人 关注:2人

一、告警基础信息拆解
告警类型:高危 域名型 DNS 隧道,UEBA 用户行为分析引擎检出,攻击阶段为命令控制 C2
流量特征:内网主机(源 IP)向外网 DNS 53 端口发起异常解析,恶意特征域名10.in-addr.arpa
核心定义:DNS 隧道是黑客利用 DNS 协议 53 端口隐蔽传输恶意指令、窃取内网数据、远控主机,多数防火墙 / 安全设备不会拦截 53 端口,极易穿透边界。
你现象特殊点:触发源为 IMC 服务器本身,说明iMC 平台服务器存在异常反向 DNS 查询行为,被 UEBA 判定为 DNS 隧道外联 C2。
二、10.in-addr.arpa 域名含义
in-addr.arpa 是 DNS 反向解析专用后缀,格式IP.in-addr.arpa用于通过 IP 反查对应域名;
正常场景:运维主动执行nslookup 10.x.x.x、系统日志服务、监控组件做反向解析;
异常场景:木马 / 恶意程序循环批量发起大量反向解析,把窃取数据分段编码塞进域名,形成 DNS 隧道外传。
三、分两类场景判断是误报还是真实入侵
场景 1:正常业务行为(UEBA 误报)
IMC 平台内置大量组件会主动发起反向 DNS 查询,高频触发特征:
iMC 设备纳管、拓扑发现、性能采集:通过 SNMP、DNS 反向解析设备 IP 对应的主机名;
日志审计、入侵防御日志解析:收到外网 IP 告警后,自动反向解析 IP 归属域名;
NQA 探测、网管 tracert、运维定时批量解析网段内所有 IP(10 段内网);
定时任务扫描网段,批量查询10.x.x.x.in-addr.arpa,大量反向查询流量匹配 DNS 隧道规则。
判定特征:查询流量平稳、定时周期性出现,无随机超长加密域名、无高频突发解析。
场景 2:真实主机中毒(高危风险)
IMC 服务器被植入木马、远控程序,恶意程序利用 DNS 隧道外联黑客 C2 服务器:
短时间内海量、高频批量反向解析请求;
域名带有随机加密字符串、超长子域名;
流量时段无对应运维任务,凌晨 / 无人值守时段爆发;
服务器存在异常外联、未知进程、对外陌生 DNS 访问。
危害:内网资产信息、IMC 账号、纳管设备配置被窃取,黑客远程下发指令横向渗透全网。
四、分步排查验证流程
步骤 1:服务器侧抓包确认 DNS 流量行为
登录 IMC 服务器(Windows Server/CentOS)抓取 UDP 53 端口报文:
查看所有 DNS 查询域名,确认是否仅10.*.in-addr.arpa批量反向解析;
核对发起 DNS 请求的进程 PID:
正常进程:imc 后台服务、nqa、计划任务、系统日志服务;
异常进程:陌生 exe、无签名脚本、临时目录可疑程序。
步骤 2:核对 IMC 定时任务、纳管扫描策略
Web iMC→系统→任务管理,查看是否存在全网网段反向解析扫描任务;
查看设备自动发现周期,是否开启定时全网段 IP 扫描,触发批量反向 DNS;
确认是否配置外网公共 DNS,IMC 直连外网 DNS 会直接上报告警;推荐改为内网 DNS 服务器。
步骤 3:防火墙 / IPS 核查 DNS 会话日志
bash
运行
display session table destination-port eq 53 source 内网IMCIP
display ips policy statistics | include dns tunnel

查看每秒 DNS 查询数量、目的 DNS 服务器 IP,判断是周期性批量扫描还是突发恶意外联。
五、分层处置方案
方案 1:确认为 IMC 正常业务扫描(误报,消除告警)
架构优化:IMC 仅对接内网 DNS 服务器,禁止直连外网公共 DNS;
限制扫描频率:调低 iMC 设备发现、反向解析任务周期,减少批量 DNS 请求;
UEBA 告警豁免:在 iMC 安全态势页面,针对 IMC 服务器 IP 添加 DNS 隧道规则白名单,屏蔽该类误报;
防火墙侧:放行 IMC 对内网 DNS 的 53 端口,对异常超长加密 DNS 域名做拦截。
方案 2:确认为服务器中毒真实攻击(紧急处置)
隔离主机:防火墙临时阻断 IMC 服务器 UDP 53 对外访问,切断 DNS 隧道外联通道;
服务器全盘查杀病毒木马,结束可疑恶意进程;
修改 IMC PLAT、数据库、服务器系统 root / 管理员所有账号密码;
溯源分析:查看 IMC 操作日志,确认是否有非法登录、配置篡改;
加固:服务器仅允许访问内网 DNS,防火墙严格管控 53 端口出站流量,开启 DNS 隧道 IPS 阻断规则。
六、长效加固规避风险
全网统一内网 DNS,所有业务服务器禁止直连 8.8.8.8、114 等外网 DNS;
防火墙 IPS 全局开启 DNS 隧道、DNS 隐蔽通道阻断规则;
iMC 定时扫描任务降低频率,避免批量反向解析触发 UEBA 高危告警;
服务器定期杀毒,关闭不必要对外 DNS 访问权限。
极简总结
该高危告警是 IMC 服务器大量查询10.in-addr.arpa反向解析域名,被 UEBA 识别为 DNS 隧道外联 C2;分两种情况:一是 iMC 自动设备扫描、日志解析等正常业务批量 DNS 查询导致误报,二是服务器中木马通过 DNS 隧道窃取数据;先抓包核对发起进程与扫描任务,区分后做白名单豁免或隔离查杀,长期统一内网 DNS、限制外网 53 端口访问规避。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明