271
Обнаружение и предотвращение DNS-атак
DNS-фильтр брандмауэра ISA защищает DNS-серверы, опубликованные
брандмауэром ISA с помощью правил публикования сервера (Server
Publishing
Rules). К странице конфигурирования предотвращения DNS-атак можно
получить доступ в диалоговом окне «Обнаружение вторжений (Intrusion
Detection)». Раскройте имя сервера, а затем раскройте узел «Конфигурирование
(Configuration)». Щелкните мышью узел «Общие (General)».
На панели «Дополнительная политика безопасности (Details)» щелкните
мышью ссылку «Включить обнаружение вторжений и обнаружение DNS-атак
(Enable Intrusion Detection and DNS Attack Detection)». В диалоговом окне «Обна-
ружение вторжений (Intrusion Detection)» щелкните вкладку «DNS-атаки (DNS
Attacks)». На вкладке «DNS-атаки (DNS Attacks)»
установите флажок
«Включить обнаружение и фильтрацию DNS-атак (Enable detection and
filtering of DNS attacks)».
После того, как выявление атак включено, можно включить
предотвращение и защиту от трех типов атак
переполнение имен узлов DNS;
272
переполнение длины DNS;
передачи зон DNS.
Атаки типа переполнения имен узлов
DNS и переполнения имен DNS
представляют собой DoS-атаки. DoS-атаки DNS отличаются по размеру от DNS-
запроса и от DNS-ответа, в которых вся пропускная способность сети
занимается поддельными DNS-запросами. Для увеличения DNS-трафика
атакующий использует DNS-серверы в качестве «усилителей».
Атакующий начинает посылать на каждый
DNS-сервер небольшие DNS-
запросы, которые содержат поддельный IP-адрес потенциальной «жертвы».
Ответы, возвращаемые на небольшие запросы, довольно большие, поэтому,
если одновременно имеется много возвращаемых ответов,
канал связи
перегружается и имеет место отказ от обслуживания (DoS-атака).
Одно из решений этой проблемы состоит в том, что администратор
должен конфигурировать DNS-серверы так,
чтобы они при получении DNS-
запроса от подозрительного или неожиданного источника отвечали
отрицательным ответом (refused response), который намного меньше, чем
ответ утвердительный.
Достарыңызбен бөлісу: