- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
11-DGA域名检测命令
本章节下载: 11-DGA域名检测命令 (171.35 KB)
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
F5000系列 |
F5000-S-G2、F5000-M-G2、F5000-A-G2、F5080、F5030 |
支持 |
|
F5000-AI160、F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-15-G、F5000-CN160、F5000-CN160-G、F5000-CN-G55、F5000-E-G |
不支持 |
|
|
F1000系列 |
F1000-AK9130 |
不支持 |
|
F1000-AI-90、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AI-25 |
支持 |
action命令用来配置DGA域名检测处理动作。
undo action命令用来恢复缺省情况。
【命令】
action { permit | drop } [ logging ]
undo action
【缺省情况】
DGA域名检测处理动作为放行报文。
【视图】
DGA域名检测视图
【缺省用户角色】
network-admin
context-admin
【参数】
permit:表示放行报文。
drop:表示阻断报文,并将报文源IP地址在DGA缓存中的状态改为冻结,设备会将该IP地址发起的所有DNS请求报文都进行阻断,阻断时间固定为30分钟。
logging:表示生成日志信息。
【使用指导】
设备会对针对每个源IP地址发送的DNS请求报文进行检测,检测其访问的域名是否为DGA域名,如果是DGA域名,则统计该IP地址访问过DGA域名的总次数。当总次数达到阈值(当前阈值为5次)时,设备将会对该IP地址发送的DNS请求报文执行DGA域名检测处理动作。
【举例】
# 配置DGA域名检测处理动作为阻断。
<Sysname> system-view
[Sysname] dga
[Sysname-dga] action drop
dga命令用来进入DGA域名检测视图。
undo dga命令用来删除DGA域名检测视图下的所有配置。
【命令】
dga
undo dga
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
DGA域名检测视图下可以开启DGA域名检测功能,并配置DGA域名检测处理动作。
【举例】
# 进入DGA域名检测视图。
<Sysname> system-view
[Sysname] dga
[Sysname-dga]
display inspect domain-name exception命令用来显示例外域名。
【命令】
display inspect domain-name exception
【视图】
任意视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
当设备从DNS报文中提取到的域名与例外域名匹配时,设备将不对该报文进行DGA域名检测业务的处理。管理员可通过本命令查看设备上已经配置的例外域名。
【举例】
# 显示所有例外域名。
<Sysname> display inspect domain-name exception
Domain names:
example.com
www.example2.com
表1-1 display inspect domain-name exception命令显示信息描述表
|
字段 |
描述 |
|
Domain names |
例外域名 |
【相关命令】
· inspect domain-name exception
inspect domain-name exception命令用来配置例外域名。
undo inspect domain-name exception命令用来删除例外域名。
【命令】
inspect domain-name exception domain-name
undo inspect domain-name exception domain-name
【缺省情况】
未配置例外域名。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
domain-name:表示例外域名,为3~255个字符的字符串,不区分大小写,只能包含字母、数字、连接符“-”和点号“.”。其中,“.”作为多级域名分隔符,不能出现在开头和结尾,每级域名只能为1~63个字符的字符串。
【使用指导】
当管理员确认不需要对某些域名进行DGA域名检测时,可以将其配置为例外域名。当设备从DNS报文中提取到的域名与例外域名匹配时,设备将不对该报文进行DGA域名检测业务的处理。
需要注意,当设备从DNS报文中提取到的域名与例外域名匹配时,设备除了不对该报文进行DGA域名检测业务的处理之外,也不会对该报文进行域名信誉业务的处理。有关域名信誉业务的相关介绍,请参加“DPI深度安全配置指导”中的“域名信誉”。
多次执行本命令,可配置多个例外域名。
【举例】
# 配置例外域名www.example.com。
<Sysname> system-view
[Sysname] inspect domain-name exception www.example.com
【相关命令】
· display inspect domain-name exception
service enable命令用开启DGA域名检测功能。
undo service enable命令用来关闭DGA域名检测功能。
【命令】
service enable
undo service enable
【缺省情况】
DGA域名检测功能处于关闭状态。
【视图】
DGA域名检测视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启本功能后,设备会将DNS请求报文中提取到的域名上送智能业务平台,进行DGA域名检测。平台检测完成后,设备会将平台返回的检测结果进行缓存。
【举例】
# 开启DGA域名检测功能。
<Sysname> system-view
[Sysname] dga
[Sysname-dga] service enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
