DNSWatch ソリューションの主要コンポーネントの 1 つがブラックホール サーバーです。DNSWatch リゾルバで悪質なドメインへの DNS 要求が受信されると、要求されたドメインの IP アドレスの代わりに、DNSWatch ブラックホール サーバーの IP アドレスが返されます。ブラックホール サーバーでは、保護されたネットワーク、Firebox、および DNSWatchGO クライアントからの悪質なドメインへの接続試行に関するデータが収集されます。DNSWatch で HTTP または HTTPS 接続が拒否された場合にユーザーのブラウザに表示される DNSWatch ブロック ページもブラックホール サーバーによりホストされます。
データ収集および接続の分析
ブラックホール サーバーでは、悪質なドメインを対象とする接続が受信され、クライアントに関する情報の収集が試みられます。収集する情報は、プライベート IP アドレス、ホスト名、ユーザー名などです。この情報はアラートの 詳細 タブに表示されます。これは、被害者の特定に役立ちます。
接続の分析
DNSWatch ブラックホール サーバーは、元々不審なドメインに向けられた接続を許可し、分析のためネットフロー トラフィックを取得します。DNSWatch によりネットワーク プロトコルが解析されます。DNSWatch が収集する接続に関する情報は、アラートの 接続の分析 タブに表示されます。
接続
DNSWatch は、同じ拒否されたドメインへの各接続試行の日時を記録します。アラートは、ある保護されたネットワークからおなじ不審なドメインへのすべての接続試行の情報を統合します。接続についての情報は、アラートの 接続 タブに表示されます。
DNSWatch アラートの詳細については、次を参照してください:DNSWatch アラートの詳細を表示する。
ブロック ページ
DNSWatch で悪質な DNS 要求が拒否された場合、またコンテンツに基づいて要求がフィルタリングされた場合にユーザーに表示される DNSWatch ブロック ページもブラックホール サーバーによりホストされます。
これらのページのテキスト、スタイル、ロゴは、組織のニーズに合わせてカスタマイズ可能です。詳細については、DNSWatch ブロック ページをカスタマイズする を参照してください。
既定では、suspicious.dnswatch.watchguard.com が DNSWatch アカウントのブロックリストに入っています。つまり、このドメインを参照すると、ブロック ページを表示できるということです。
ドメインが DNSWatch ブロックリストと拒否された WebBlocker カテゴリの両方に入っている場合は、ユーザーには WebBlocker 拒否メッセージではなく、DNSWatch セキュリティ ブロック ページが表示されます。