之前在查看TMG上的系统节点时看到在“应用程序筛选器”中有一个DNS筛选器功能,这个功能主要有什么功能呢?或其主要作用是什么呢?
首先DNS筛选器的作用简单来说主要是应对于DNS攻击用于对DNS攻击做检测。
接下来我们就详细做一下分析:
Forefront TMG 域名系统 (DNS) 筛选器会拦截并分析发往内部网络和其他受保护网络的所有入站 DNS 通讯。 如果启用 DNS 攻击检测,则可以指定 DNS 筛选器检查以下类型的可疑活动:
Forefront TMG 域名系统 (DNS) 筛选器会拦截并分析发往内部网络和其他受保护网络的所有入站 DNS 通讯。 如果启用 DNS 攻击检测,则可以指定 DNS 筛选器检查以下类型的可疑活动:
- DNS 主机名溢出 – 当对主机名的 DNS 响应超过 255 字节时,不检查主机名长度的应用程序在复制该主机名时可能溢出内部缓冲区,使远程攻击者可以在目标计算机上执行任意命令。
- DNS 长度溢出 – 当对 IP 地址的 DNS 响应超过 4 字节时,某些执行 DNS 查找的应用程序将溢出内部缓冲区,使远程攻击者可以在目标计算机上执行任意命令。 Forefront TMG 还会检查 RDLength 的值是否超出了 DNS 响应其余部分的大小。
- DNS 区域传输 - 客户端系统使用 DNS 客户端应用程序从内部 DNS 服务器传输区域。
检测到攻击性数据包时,系统会丢弃这些数据包,并生成一个触发 DNS 入侵警报的事件。 可以将警报配置为在检测到攻击时通知您。 在 DNS 区域传输的一分钟之内生成 5 次 DNS 入侵事件时,将触发 DNS 区域传输入侵警报。 默认情况下,在触发适用的预定义警报后,在手动重置之前不会再次触发这些警报。
之前的博文中有一篇是通过禁用Web筛选器下的压缩筛选器来解决无法通过TMG访问http://connect.qq.com/中的部分子页面,在今天这里呢虽然不是解决问题时遇到,但是自己明白了这个筛选器的功能,所以分享一下,嘿嘿。
本文转自wangtingdong 51CTO博客,原文链接:http://blog.51cto.com/tingdongwang/687537,如需转载请自行联系原作者