在Citrix ADC 13.1
在Citrix ADC
在所有产品中
製品ドキュメント
在Citrix ADC 13.1
在Citrix ADC
在所有产品中
Citrix ADC
当前版本 13.0 12.1 11.1
pdf格式

DNS (DNS

2021年8月23日
寄稿者:
C

Citrix ADC GUIの(DNSセキュリティプロファイルの追加]ページでDNSセキュリティオプションを構成できるようになりました。Citrix ADCCLIまたはNITRO APIからDNSセキュリティオプションを構成するには、AppExpertコンポーネントを使用します。手順については、NITRO APIのドキュメントとCitrix ADCコマンドリファレンスガイドを参照してください。

キャッシュポイズニング保護というオプションの1つはデフォルトで有効になっており,無効にすることはできません。次の表に示すように,他のオプションを,展開内のすべてのDNSエンドポイントまたは特定のDNS仮想サーバーに適用できます。

セキュリティオプション
DNS DDoS北向 はい はい
例外の管理——ホワイトリスト/ブラックリストサーバ はい はい
ランダムなサブドメイン攻撃を防ぐ はい はい
キャッシュをバイパスする はい いいえ
DNS はい はい
★★★★★★★★★★★★★★★★★★★ はい いいえ

キャッシュポイズニング保護

キャッシュポイズニング攻撃は,正当なサイトから悪意のあるWebサイトにユーザーをリダイレクトします。

たとえば,攻撃者はDNSキャッシュ内の正規のIPアドレスを制御する偽のIPアドレスに置き換えます。。。

[キャッシュポイズニング保護]オプションを使用すると,DNSサーバーの要求と応答をキャッシュするデータベースに破損したデータが挿入されるのを防ぐことができます。Citrix ADC。

DNS DDoS北向

DDoS攻撃で使用される可能性があると思われる要求の種類ごとに,DNS DDoS保護オプションを設定できます。アプライアンスは,タイプごとに,指定した期間(タイムスライス)で受信した要求数のしきい値を超えた後に受信したすべての要求をドロップします。。【中文】:

  • 下降:-。しきい値15日タイムスライス1秒で一レコード保護を有効にし,[删除]を選択したと仮定します。。
  • 警告:-。しきい値15日タイムスライス1秒で一レコード保護を有効にし,[警告]を選択したと仮定します。着信要求が1秒で15クエリを超えると,脅威を示す警告メッセージがログに記録され,パケットがドロップされます。警告、警告、警告、警告、警告、警告、警告。このような設定は,実際の攻撃が発生してCitrix ADCが着信要求のドロップを開始する前に警告メッセージを記録することにより,管理者が攻撃を識別するのに役立ちます。

GUIを使用して着信トラフィックのしきい値を設定する

  1. (設定] > [小甜甜] > [DNS[中文]
  2. (【翻译】【翻译] [qh]追加[au:]
  3. (【DNS】
  4. (DNS DDoS北向[中文]
    2. (ドロップ] [qh]警告[au:]
  5. (提交)

例外の管理——許可リスト/ブロックリストサーバー

例外の管理を使用すると,ブロックリストまたは許可リストのドメイン名とIPアドレスに例外を追加できます。【中文】:

  • 攻撃をポストする特定のIPアドレスが特定されると,そのようなIPアドレスをブロックリストに追加できます。
  • 管理者が特定のドメイン名に対する要求数が予期せず多いことがわかった場合,そのドメイン名をブロックリストに追加できます。
  • サーバーリソースを消費する可能性があるNXDomains
  • 管理者がリストドメイン名またはIPアドレスを許可すると,これらのドメインまたはIPアドレスからのクエリまたは要求のみが応答され,その他はすべて削除されます

GUIを使用して許可リストまたはブロックリストを作成する

  1. (> [dns[中文]
  2. (DNS (DNS] [qh]追加[au:]
  3. (【DNS】
    1. (- [/]我不知道。
    2. ブラックリストに登録されたドメイン/アドレスからのクエリをブロックするには[刷刷刷刷[中文]:[中文][au:]
    3. (/ IP[中文][中文],[中文],[中文],[中文],[中文],[中文]。注記:「(高级选项))を選択した場合は,“次で始まる”、“次を含む”(包含),および”次で終わる”(结尾)オプションを使用して条件を設定できます。たとえば,“图像”で始まる,または“.co.ruで終わる,または”モバイルサイト”を含むDNSクエリをブロックする条件を設定できます。
  4. (提交)

ランダムなサブドメイン攻撃を防ぐ

ランダムなサブドメイン攻撃では,正当なドメインのランダムで存在しないサブドメインにクエリが送信されます。。中文:。

[ランダムサブドメイン攻撃を防止]オプションは,指定した長さを超えるDNSクエリをドロップするようにDNSレスポンダに指示します。

example.comが所有するドメイン名であるため,解決要求がDNSサーバーに送信されるとします。攻撃者はexample.comにランダムなサブドメインを追加して,リクエストを送信することができます。。

たとえば,クエリがwww.image987trending.example.comの場合,クエリの長さが20に設定されている場合,クエリは削除されます。

DNS(英文

  1. (> [dns[中文]
  2. (DNS (DNS] [qh]追加[au:]
  3. (【DNS】
    1. (ランダムなサブドメイン攻撃を防止[中文]
  4. (提交)

キャッシュのバイパス

。キャッシュを保護するために,特定のドメイン,レコードタイプ,またはレスポンスコードに対する新しいリクエストをキャッシュではなくオリジンサーバーに送信できます。

[キャッシュのバイパス]オプションを選択すると,Citrix ADCアプライアンスは,攻撃が検出されたときに,指定されたドメイン,レコードタイプ,または応答コードのキャッシュをバイパスするように指示します。

GUIを使用して,指定したドメイン,レコードタイプ,または応答タイプのキャッシュをバイパスする

  1. (> [dns[中文]
  2. (DNS (DNS] [qh]追加[au:]
  3. 【单词测试______] [qh]キャッシュのバイパス[中文][中文]。
    • (ドメイン[中文:。。
    • ([au:]
    • “”
  4. (提交)

DNS

トランザクションがUDPではなくTCPを使用するように強制される場合,一部のDNS攻撃を防ぐことができます。たとえば,ボット攻撃の間,クライアントは大量のクエリを送信しますが,応答を処理できません。これらのトランザクションにTCPの使用が強制される場合,ボットは応答を理解できないため,TCP経由で要求を送信できません。

GUI

  1. (> [dns[中文]
  2. (DNS (DNS] [qh]追加[au:]
  3. (【DNS】, [DNS]を展開し,ドメイン名と/を入力するか,TCP経由でDNSトランザクションを強制する必要があるレコードタイプを選択します。
    • (ドメイン[中文:。。
    • (**[**]。
  4. (提交)

★★★★★★★★★★★★★★★★★★★

一部の攻撃では,Citrix ADCアプライアンスに構成またはキャッシュされていない無関係なドメインに対して,攻撃者が大量のクエリを送信します。dnsRootReferral

(DNSレスポンスでルート詳細を提供する]オプションを選択すると,Citrix ADCアプライアンスは,構成またはキャッシュされていないクエリのルート参照へのアクセスを制限するように指示します。。

(DNS応答にルートの詳細を提供する]オプションでは,増幅攻撃を軽減またはブロックすることもできます。dnsrootReferralパラメータが無効の場合,Citrix ADC応答にルート紹介が存在しないため,それらは増幅されません。

GUIを使用してルートサーバーへのアクセスを有効または無効にする

  1. (> [dns[中文]
  2. (DNS (DNS] [qh]追加[au:]
  3. (【DNS】
    1. DNS北向北向★★★★★★★★★★[中文]
    2. (] [qh][中文]:。
  4. (提交)
DNS (DNS
2021年8月23日
寄稿者:
C
2021年8月23日
寄稿者:
C

★★★★★

サイトに関するフィードバック | プライバシーと法令 | Cookie ? | 同意设置
©1999 -思杰系统有限公司版权所有。