Un componente clave de la solución DNSWatch es el servidor Blackhole. Cuando los resolvedores de DNSWatch reciben una solicitud DNS a un dominio malicioso, muestran la dirección IP del servidor DNSWatch Blackhole en lugar de la dirección IP del dominio solicitado. El servidor Blackhole recopila datos sobre el intento de conexión a dominios maliciosos de sus redes protegidas, Fireboxes y DNSWatchGO Clients. El servidor Blackhole también aloja las páginas de bloqueo de DNSWatch que los usuarios ven en el explorador cuando DNSWatch deniega las conexiones HTTP o HTTPS.
Recopilación de Datos y Análisis de Conexión
El servidor Blackhole recibe la conexión prevista para el dominio malicioso e intenta recopilar información sobre el origen de la solicitud del cliente. Esto incluye información como la dirección IP privada, el nombre de host y el nombre de usuario. Esta información aparece en la pestaña Detalles para la alerta y puede ayudarlo a identificar a la víctima o víctimas.
Análisis de Conexión
El servidor Blackhole de DNSWatch acepta la conexión que estaba prevista para el dominio malicioso y recopila el tráfico de flujo de red para su análisis. DNSWatch analiza los protocolos de red. La información que DNSWatch recopila para una conexión aparece en la pestaña Análisis de Conexión para una alerta.
Conexiones
DNSWatch registra la fecha y la hora de cada intento de conexión al mismo dominio denegado. Una alerta combina información sobre todos los intentos de conexión de una red protegida al mismo dominio malicioso. La información sobre conexiones aparece en la pestaña Conexiones para una alerta.
Para obtener más información sobre las alertas de DNSWatch, consulte Ver los Detalles de Alerta de DNSWatch.
Página de Bloqueo
El servidor Blackhole también aloja las páginas de bloqueo de DNSWatch que los usuarios ven cuando DNSWatch deniega una solicitud de DNS maliciosa o filtra una solicitud en función del contenido.
Puede personalizar el texto, el estilo y el logotipo en estas páginas para satisfacer las necesidades de su organización. Para más información, consulte Personalizar las Páginas de Bloqueo de DNSWatch.
De forma predeterminada, suspicious.dnswatch.watchguard.com está en la Lista de Bloqueados en su cuenta de DNSWatch. Esto significa que puede navegar a este dominio para ver la página de bloqueo.
Cuando un dominio está en la Lista de Bloqueados de DNSWatch y en una categoría de WebBlocker denegada, los usuarios ven la página de bloqueo de seguridad de DNSWatch en lugar de un Deny message de WebBlocker.