此内容已被机器动态翻译。
diesel Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde。(Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique。(非条款responsabilité)
Este artículo lo ha traducido una máquina形式上dinámica。(通报法律)
此内容已动态机器翻译。放弃
このコンテンは動的に機械翻訳されています。免責事項
此内容已被机器动态翻译。
此内容已被机器动态翻译。
此内容已被机器动态翻译。
这篇文章是机器翻译的。
柴油Artikel wurde maschinell übersetzt。(Haftungsausschluss)
Ce article a été traduit automatiquement。(非条款responsabilité)
Este artículo ha sido traducido automáticamente。(通报法律)
この記事は機械翻訳されています。免責事項
이기사는기계번역되었습니다。
Este artigo foi traduzido automaticamente。
这篇文章已经过机器翻译.放弃
翻译失败!
DNS安全选项
您现在可以从Citrix ADC GUI中的“添加DNS安全配置文件”页面配置DNS安全选项。要从Citrix ADC CLI或NITRO API配置DNS安全选项,请使用AppExpert组件。有关说明,请参阅NITRO API文档和Citrix ADC命令参考指南。
缓存中毒保护选项在默认情况下是启用的,不能禁用。您可以将其他选项应用于部署中的所有DNS端点或特定DNS虚拟服务器,如下表所示:
安全选项 | 是否可以应用到所有DNS端点? | 是否适用于特定的DNS虚拟服务器? |
---|---|---|
DNS DDoS防护 | 是的 | 是的 |
异常管理—服务器白名单/黑名单 | 是的 | 是的 |
防止随机子域攻击 | 是的 | 是的 |
绕过缓存 | 是的 | 没有 |
在TCP上强制执行DNS事务 | 是的 | 是的 |
在DNS响应中提供根详细信息 | 是的 | 没有 |
缓存中毒防护
缓存投毒攻击将用户从合法网站重定向到恶意网站。
例如,攻击者将DNS缓存中的真实IP地址替换为他们控制的假IP地址。当服务器响应来自这些IP地址的请求时,缓存就中毒了。对该域地址的后续请求将被重定向到攻击者的站点。
“缓存中毒保护”选项可防止将损坏数据插入缓存DNS服务器请求和响应的数据库中。此功能内置在Citrix ADC设备中,并且始终启用。
DNS DDoS防护
您可以为您怀疑可能用于DDoS攻击的每种请求类型配置DNS DDoS保护选项。对于每种类型,设备在超过指定时间段(时间片)内接收到的请求数量的阈值后将丢弃接收到的任何请求。您还可以配置此选项,将警告记录到SYSLOG服务器。例如:
- 下降:—选择此选项表示丢弃请求而不记录日志。假设您启用了阈值为15的记录保护,时间片为1秒,并选择了DROP。当传入请求在1秒内超过15个查询时,数据包开始被丢弃。
- 警告:—选中“LOG”和“DROP”。假设您已启用阈值为15的A记录保护,时间片为1秒,并选择“警告”。当1秒内进入的请求超过15个查询时,将记录威胁警告消息,然后丢弃报文。Citrix建议您将WARN的阈值设置为小于记录类型的DROP阈值。这样的设置可以帮助管理员在实际攻击发生和Citrix ADC开始丢弃传入请求之前记录警告消息,从而识别攻击。
该任务指导管理员通过图形化界面设置入流量阈值
- 导航到配置>安全>DNS安全.
- 在DNS安全配置页面,点击添加.
- 在添加DNS安全配置文件页面,执行以下操作:
- 扩大DNS DDoS防护.
- 选择记录类型,输入阈值限制和时间片值。
- 选择下降或警告.
- 对于想要保护的其他记录类型,重复步骤a和b。
- 点击提交.
管理异常- allowlist/blocklist服务器
“管理异常”使您可以添加异常以阻止列表或允许列表域名和IP地址。例如:
- 当发现某个IP地址在发起攻击时,将该IP地址添加到阻断列表中。
- 当管理员发现对某个特定域名的请求数量异常高时,可以将该域名添加到阻止列表中。
NXDomains
现有的一些能够消耗服务器资源的域可以被列入黑名单。- 当管理员允许列表域名或IP地址时,只回答来自这些域名或IP地址的查询或请求,而删除所有其他域名或IP地址。
使用GUI创建允许列表或阻止列表
- 导航到>安全配置> DNS安全配置.
- 在DNS安全配置文件页面,点击添加.
- 在添加DNS安全配置文件页面,执行以下操作:
- 扩大异常管理—服务器白名单/黑名单.
- 选择块阻止来自黑名单域/地址的查询,或选择允许只允许从白名单域/地址查询。
- 在域名/ IP地址,输入域名、IP地址或IP地址范围。使用逗号分隔条目。请注意:如果选择高级选项,您可以使用“以开始”、“包含”和“以结束”选项设置条件。例如,您可以设置条件来阻止以“image”开头或以“.co.ru”结尾或包含“移动站点”的DNS查询。
- 点击提交.
防止随机子域攻击
在随机子域攻击中,查询被发送到合法域的随机、不存在的子域。此操作会增加DNS解析器和服务器的负载。因此,它们可能变得过载并变慢。
“防止随机子域攻击”选项指示DNS响应器丢弃超过指定长度的DNS查询。
假设example.com是您拥有的一个域名,因此解析请求将发送到您的DNS服务器。攻击者可以将随机子域附加到example.com并发送请求。根据指定的查询长度和FQDN,将丢弃随机查询。
例如,如果查询是www.image987trending.example.com,那么如果查询长度设置为20,它就会被删除。
通过图形界面指定DNS查询长度
- 导航到>安全配置> DNS安全配置.
- 在DNS安全配置文件页面,点击添加.
- 在添加DNS安全配置文件页面,执行以下操作:
- 扩大防止随机子域攻击.
- 输入查询长度的数值。
- 点击提交.
绕过缓存
在攻击期间,必须保护已经缓存的数据。为了保护缓存,可以将对某些域或记录类型或响应代码的新请求发送到源服务器,而不是缓存。
绕过缓存选项指示Citrix ADC设备在检测到攻击时绕过指定域、记录类型或响应代码的缓存。
通过使用GUI绕过指定域或记录类型或响应类型的缓存
- 导航到>安全配置> DNS安全配置.
- 在DNS安全配置文件页面,点击添加.
- 在添加DNS安全配置文件页面,扩大绕过缓存并输入域名。可选地,选择必须绕过缓存的记录类型或响应类型。
- 点击域并输入域名。使用逗号分隔条目。
- 点击记录类型并选择记录类型。
- 点击响应类型并选择响应类型。
- 点击提交.
在TCP上强制执行DNS事务
如果强制事务使用TCP而不是UDP,则可以防止某些DNS攻击。例如,在bot攻击期间,客户端发送大量查询,但无法处理响应。如果对这些事务强制使用TCP,那么机器人就不能理解响应,因此不能通过TCP发送请求。
通过使用GUI强制域或记录类型在TCP级别上操作
- 导航到>安全配置> DNS安全配置.
- 在DNS安全配置文件页面,点击添加.
- 在添加DNS安全配置文件页面,扩大在TCP上强制执行DNS事务并输入域名和/或选择必须通过TCP强制执行DNS事务的记录类型。
- 点击域并输入域名。使用逗号分隔条目。
- 点击记录类型并选择记录类型。
- 点击提交.
在DNS响应中提供根详细信息
在某些攻击中,攻击者会向Citrix ADC设备上未配置或缓存的不相关域发送大量查询。如果dnsRootReferral
参数为ENABLED时,它将公开所有根服务器。
DNS响应选项中的“提供根详细信息”指示Citrix ADC设备限制对未配置或缓存的查询的根引用的访问。设备发送一个空白响应。
“DNS响应”选项中的“提供根详细信息”还可以减轻或阻止放大攻击。当dnsRootReferral参数为DISABLED时,Citrix ADC响应中没有根引用,因此它们不会被放大。
使用GUI启用或禁用对根服务器的访问
- 导航到>安全配置> DNS安全配置.
- 在DNS安全配置文件页面,点击添加.
- 在添加DNS安全配置文件页面,执行以下操作:
- 扩大中提供根详细信息DNS响应.
- 点击在或从允许或限制对根服务器的访问。
- 点击提交.
分享
分享
此预览版产品文档是Citrix机密文档。
您同意按照您的Citrix Beta/技术预览协议的条款对本文档进行保密。
预览文档中描述的任何特性或功能的开发、发布和时间仍由我们自行决定,如有更改,恕不另行通知或咨询。
本文档仅供参考之用,不构成提供任何材料、代码或功能的承诺、承诺或法律义务,不应作为思杰产品购买决策的依据。
如果不同意,选择“不同意退出”。