Route 53 Resolver DNS-Firewall für Fortgeschrittene - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Route 53 Resolver DNS-Firewall für Fortgeschrittene

DNS Firewall Advanced erkennt verdächtige DNS-Abfragen auf der Grundlage bekannter Bedrohungssignaturen in DNS-Abfragen. Sie können einen Bedrohungstyp in einer Regel angeben, die Sie in einer DNS-Firewallregel innerhalb einer Regelgruppe verwenden. Wenn Sie einer VPC eine Regelgruppe zuordnen, vergleicht die DNS-Firewall Ihre DNS-Abfragen mit den Domänen, die in den Regeln gekennzeichnet sind. Wenn es eine Übereinstimmung findet, verarbeitet es die DNS-Abfrage gemäß der Aktion der Übereinstimmungsregel.

DNS Firewall Advanced identifiziert verdächtige DNS-Bedrohungssignaturen, indem es eine Reihe von Schlüsselkennungen in der DNS-Payload untersucht, darunter den Zeitstempel der Anfragen, die Häufigkeit von Anfragen und Antworten, die DNS-Abfragezeichenfolgen sowie die Länge, Art oder Größe sowohl ausgehender als auch eingehender DNS-Abfragen. Je nach Art der Bedrohungssignatur können Sie Richtlinien so konfigurieren, dass die Anfrage blockiert oder einfach protokolliert und eine Warnung angezeigt wird. Durch die Verwendung eines erweiterten Satzes von Bedrohungskennungen können Sie sich vor DNS-Bedrohungen schützen, die von Domänenquellen stammen, die möglicherweise noch nicht durch Threat-Intelligence-Feeds, die von der breiteren Sicherheitsgemeinschaft verwaltet werden, noch nicht klassifiziert wurden.

Derzeit bietet DNS Firewall Advanced Schutz vor:

  • Algorithmen zur Domänengenerierung () DGAs

    DGAs werden von Angreifern verwendet, um eine große Anzahl von Domains zu generieren, um Malware-Angriffe zu starten.

  • DNS-Tunneling

    DNS-Tunneling wird von Angreifern verwendet, um mithilfe des DNS-Tunnels Daten vom Client zu exfiltrieren, ohne eine Netzwerkverbindung zum Client herzustellen.

Informationen zum Erstellen von Regeln finden Sie unter und. Erstellen einer Regelgruppe und -regeln Regeleinstellungen in der DNS-Firewall

Beseitigung von False-Positive-Szenarien

Wenn Sie in Regeln, die erweiterte DNS-Firewall-Schutzmaßnahmen zum Blockieren von Abfragen verwenden, auf falsch positive Szenarien stoßen, gehen Sie wie folgt vor:

  1. Identifizieren Sie in den Resolver-Protokollen die Regelgruppe und die erweiterten Schutzmaßnahmen der DNS-Firewall, die die Fehlalarme verursacht haben. Dazu finden Sie das Protokoll für die Abfrage, die die DNS-Firewall blockiert, aber die Sie zulassen möchten. Im Protokolleintrag sind die Regelgruppe, die Regelaktion und der erweiterte DNS-Firewall-Schutz aufgeführt. Weitere Informationen über Protokolle finden Sie unter Werte in DNS-Abfrageprotokollen.

  2. Erstellen Sie eine neue Regel in der Regelgruppe, die die blockierte Abfrage explizit zulässt. Wenn Sie die Regel erstellen, können Sie Ihre eigene Domainliste nur mit der Domainspezifikation definieren, die Sie zulassen möchten. Folgen Sie den Anweisungen zur Regelgruppen- und Regelverwaltung unter Erstellen einer Regelgruppe und -regeln.

  3. Priorisieren Sie die neue Regel innerhalb der Regelgruppe, sodass sie vor der Regel ausgeführt wird, die die verwalteten Liste verwendet. Geben Sie dazu der neuen Regel eine niedrigere numerische Prioritätseinstellung.

Wenn Sie Ihre Regelgruppe aktualisiert haben, lässt die neue Regel explizit den Domainnamen zu, den Sie zulassen möchten, bevor die Blockierungsregel ausgeführt wird.