产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

DNS安全选项

2021年8月24日
贡献者:
C

现在,您可以从Citrix ADC GUI中的“添加DNS安全配置文件”页面配置DNS安全选项。要配置Citrix ADC CLI或NITRO API中的DNS安全选项,请使用AppExpert组件。有关说明,请参阅NITRO API文档和Citrix ADC命令参考指南。

一个选项,即缓存中毒保护,默认情况下处于启用状态,无法禁用状态。您可以将其他选项应用于部署中的所有DNS端点或特定DNS虚拟服务器,如下表所示:

安全选项 是否可以应用于所有DNS端点? 是否可以应用于特定的DNS虚拟服务器?
DNS DDoS保护
管理异常-白名单/黑名单服务器
防止随机子域攻击
绕过缓存
通过TCP强制执行DNS事务
在DNS响应中提供根详细信息

缓存中毒保护

缓存中毒攻击将用户从合法站点重定向到恶意网站。

例如,攻击者将DNS缓存中的真实IP地址替换为他们控制的假IP地址。当服务器响应来自这些IP地址的请求时,缓存会中毒。对域地址的后续请求将重定向到攻击者的站点。

缓存中毒保护选项可防止将损坏的数据插入到缓存DNS服务器请求和响应的数据库中。此功能内置在Citrix ADC设备中,并始终处于启用状态。

DNS DDoS保护

您可以为您怀疑可能在DDoS攻击中使用的每种类型的请求配置DNS DDoS保护选项。对于每种类型,在超过指定时间段(时间片段)内收到的请求数的阈值之后,设备都会丢弃收到的所有请求。您还可以配置此选项以将警告记录到syslog服务器。例如:

  • 下降:-选择此选项可在不记录的情况下丢弃请求。假设您已启用阈值为15的a记录保护,时间片段为1秒,然后选择了滴。当传入的请求在 1 秒内超过 15 个查询时,数据包开始丢弃。
  • 警告:-选择此选项可记录和丢弃请求。假设您已启用阈值为15,时间片段为1秒的a记录保护,然后选择了警告。当传入的请求在 1 秒内超过 15 个查询时,将记录一条警告消息,指示存在威胁,然后丢弃数据包。Citrix建议您将WARN的阈值设置为小于记录类型的DROP阈值。此类设置可帮助管理员在实际攻击发生之前记录警告消息以及Citrix ADC开始删除传入请求,从而帮助管理员识别攻击。

使用GUI设置传入流量的阈值

  1. 导航到配置>安全>DNS安全
  2. DNS安全配置文件页面上,单击添加
  3. 在“添加DNS安全配置文件页上,执行以下操作:
  4. 扩展DNS DDoS保护
    1. 选择记录类型并输入阈值限制和时间片值。
    2. 选择删除警告
    3. 对要防护的每个其他记录类型重复步骤a和b。
  5. 单击提交(提交)。

管理异常-允许列表/阻止列表服务器

管理例外使您能够将例外添加到阻止列表或允许列出域名和IP地址。例如:

  • 当识别发布攻击的特定IP地址时,可以将此类IP地址添加到阻止列表中。
  • 当管理员发现对特定域名的请求数量出乎意料的高时,那么可以将该域名添加到阻止列表中。
  • NXDomains一些可以消耗服务器资源的现有域可以被列入黑名单。
  • 当管理员允许列出域名或IP地址时,仅应答来自这些域或IP地址的查询或请求,而其他所有其他域名或IP地址都将被删除。

使用GUI创建允许列表或阻止列表

  1. 导航到配置>安全> DNS安全性
  2. 在“DNS安全配置文件“页上,单击”添加”。
  3. 在“添加DNS安全配置文件页上,执行以下操作:
    1. 展开管理例外-白名单/黑名单服务器
    2. 选择”阻止以阻止来自黑名单域/地址的查询,或选择仅允许以允许来自白名单域/地址的查询。
    3. 在“域名/ ip地址框中,输入域名,ip地址或ip地址范围。使用逗号分隔条目。注意:如果选择高级选项,则可以使用“开头为”,“包含”和“结尾为”选项来设置条件。例如,您可以设置条件来阻止以“图像“开头或以“.co.ru”结尾或包含“移动网站”的DNS查询。”
  4. 单击提交(提交)。

防止随机子域攻击

在随机子域攻击中,查询被发送到合法域中不存在的随机子域。此操作会增加DNS解析器和服务器的负载。因此,它们可能会变得超载并减慢。

“防止随机子域攻击”选项指示DNS响应程序删除超过指定长度的DNS查询。

假设example.com是您拥有的域名,因此解析请求来到您的DNS服务器。攻击者可以将随机子域附加到example.com并发送请求。根据指定的查询长度和fqdn,随机查询将被删除。

例如,如果查询是www.image987trending.example.com,则如果查询长度设置为20,则该查询将被删除。

通过使用GUI指定DNS查询长度

  1. 导航到配置>安全> DNS安全性
  2. 在“DNS安全配置文件“页上,单击”添加”。
  3. 在“添加DNS安全配置文件页上,执行以下操作:
    1. 展开防止随机子域攻击
    2. 输入查询长度的数值。
  4. 单击提交(提交)。

绕过缓存

在攻击期间,必须保护已缓存的数据。为了保护缓存,可以将针对某些域或记录类型或响应代码的新请求发送到源服务器,而不是缓存。

“绕过缓存”选项指示Citrix ADC设备在检测到攻击时绕过指定域,记录类型或响应代码的缓存。

使用GUI绕过指定域或记录类型或响应类型的缓存

  1. 导航到配置>安全> DNS安全性
  2. 在“DNS安全配置文件“页上,单击”添加”。
  3. 添加DNS安全配置文件页面上,展开绕过缓存并输入域名。或者,选择必须绕过缓存的记录类型或响应类型。
    • 单击并输入域名。使用逗号分隔条目。
    • 单击记录类型,然后选择记录类型。
    • 单击”响应类型并选择响应类型。
  4. 单击提交(提交)。

通过TCP强制执行DNS事务

如果事务被迫使用TCP而不是udp,则可以防止某些DNS攻击。例如,在机器人攻击期间,客户端会发送大量查询,但无法处理响应。如果对这些事务强制使用 TCP,则机器人无法理解响应,因此无法通过 TCP 发送请求。

通过使用GUI强制域或记录类型在TCP级别操作

  1. 导航到配置>安全> DNS安全性
  2. 在“DNS安全配置文件“页上,单击”添加”。
  3. 在“添加DNS安全配置文件页上,展开通过TCP强制执行DNS事务并输入域名和/或选择必须通过TCP强制执行DNS事务的记录类型。
    • 单击并输入域名。使用逗号分隔条目。
    • 单击记录类型,然后选择记录类型。
  4. 单击提交(提交)。

在DNS响应中提供根详细信息

在某些攻击中,攻击者发送了大量查询,查询未在Citrix ADC设备上配置或缓存的无关域。如果dnsRootReferral参数处于启用状态,它将公开所有根服务器。

“在DNS响应中提供根详细信息”选项指示Citrix ADC设备限制对未配置或缓存的查询的根引用的访问。设备发送空白响应。

"在DNS响应中提供根详细信息"选项还可以缓解或阻止放大攻击. "当DNSrootreFerral参数处于禁用状态时,Citrix ADC响应中没有根引用,因此它们不会被放大。

使用GUI启用或禁用对根服务器的访问

  1. 导航到配置>安全> DNS安全性
  2. 在“DNS安全配置文件“页上,单击”添加”。
  3. 在“添加DNS安全配置文件页上,执行以下操作:
    1. 展开在DNS响应中提供根详细信息
    2. 单击以允许或限制对根服务器的访问。
  4. 单击提交(提交)。
DNS安全选项
2021年8月24日
贡献者:
C
2021年8月24日
贡献者:
C

本文中包含的内容

站点反馈 | 隐私和法律条款 | Cookie首选项 | 同意设置
©1999 -思杰系统有限公司。保留所有权利。