Temas Relacionados
Un componente clave de la solución DNSWatch son los Servidores Blackhole. Cuando DNSWatch recibe una solicitud de DNS a un dominio malicioso, devuelve la dirección IP del DNSWatch Blackhole en lugar de la dirección IP real del dominio solicitado. Los Servidores Blackhole recopilan datos sobre el intento de conexión a dominios maliciosos de sus redes protegidas. Los Servidores Blackhole también alojan la página de Denegación de DNSWatch que los usuarios ven en el explorador cuando DNSWatch rechaza las conexiones HTTP o HTTPS.
Recopilación de Datos y Análisis de Malware
El Servidor Blackhole recibe la conexión prevista para el dominio malicioso e intenta recopilar información sobre el origen de la solicitud de DNS. Esto incluye información como la dirección IP privada, el nombre de host y el nombre de usuario. Esta información puede ayudarlo a identificar a la(s) víctima(s) en la red protegida. Esta información aparece en la pestaña Detalles para la alerta.
El Servidor Blackhole de DNSWatch acepta la conexión que estaba prevista para el dominio malicioso y recopila el tráfico de flujo de red para su análisis. DNSWatch entiende y analiza los protocolos de red. La información que DNSWatch recopila para una conexión aparece en la pestaña Análisis de Malware para una alerta.
DNSWatch registra la fecha y la hora de cada intento de conexión al mismo dominio denegado. Una alerta combina información sobre todos los intentos de conexión de una red protegida al mismo dominio malicioso. La información sobre conexiones aparece en la pestaña Conexiones para una alerta.
Para obtener más información sobre las alertas de DNSWatch, consulte Ver los Detalles de Alerta de DNSWatch.
Página de Denegación de DNSWatch
Los Servidores Blackhole también alojan la página de Bloqueo de DNSWatch cuando DNSWatch rechaza una solicitud de DNS.
Puede personalizar el texto, el estilo y el logotipo en esta página para satisfacer las necesidades de su organización. Para obtener más información, consulte Personalizar la Página de Negación de DNSWatch.
De forma predeterminada, el dominio strongarm[.]test está en la Lista Negra de su cuenta DNSWatch. Esto significa que puede navegar a este dominio desde una red protegida para ver la página de denegación.