当ASA僵尸网络过滤功能是宣布我认为这是一个有趣的概念,是绝对值得一试。其中一个有趣的概念,这个功能引入是监控出站流量,并了解是否有它不应该被允许流动的能力。这是专用设备的选项,但防火墙通常是集中在入站流量和出站没有。僵尸网络使其重要的是要知道什么是走出去为好。
当时间允许,我升级我的5505到8.2(1),并得到了一个僵尸网络30天评估许可证。安装在带有除了基本的NAT没有规则路由模式,使所有的僵尸网络复选标记。这里有一个问题是,你需要在你的ASA配置DNS以便发生更新,进行一次数据库更新得到了和监测要去现场。
两个星期后,我没有在ASDM的报告部分僵尸网络活动的指示,有一些条目指示访问黑名单网站(geocities.com是它让我吃惊),但是因为他们是用TCP端口80(HTTP),他们没有考虑僵尸网络。太好了,我的家庭/工作电脑是干净的,但我怎么得到这个东西找到的东西?我花了一些时间来寻找一种方式来获得VMware客户XP感染,但决定的风险是不值得的。相反,我写了一遍又一遍打开一个TCP会话的站点列表再次小批量文件,以同样的方式,一个机器人会做。
下面是批处理文件的内容:
:开始
远程登录drbach.pl 12330
远程登录orgsite.info 12330
远程登录martuz.cn 12330
远程登录007webs 12330
远程登录woocasino.com 12330
远程登录basketballsport.cn 12330
远程登录adultping.net 12330
转到启动
网站的名单摘自:http://www.malwaredomainlist.com,这是一个非商业的社区项目。大多数有这些名单不会分享他们的商业网站,但这个网站是一个很好的资源。
经过短暂而ASA的僵尸网络报告显示以下报告:
僵尸网络主机 - 被怀疑在被僵尸网络感染的主机
僵尸网络的网站 - 网站已经被僵尸网络“打电话回家”活动的目标
但如果目标是什么一个众所周知的网站;将ASA的产生,如果同一TCP会话的尝试发生一场虚惊?对于我修改批处理文件有以下内容:
:开始
远程登录google.com 12330
远程登录yahoo.com 12330
远程登录cnn.com 12330
远程登录networkworld.com 12330
远程登录microsoft.com 12330
远程登录avaya.com 12330
远程登录hp.com 12330
远程登录riverbed.com 12330
转到启动
运行这个批处理这是预期的行为时,ASA没有报告任何东西。
任何人试图在生产环境中,实际上它发现了一些真正的僵尸网络?