Шлюз Microsoft Forefront Threat Management содержит фильтр DNS, который перехватывает и анализирует весь входящий DNS-трафик, направленный во внутреннюю сеть и другие защищенные сети. Если обнаружение DNS-атак включено, можно настроить фильтр DNS на проверку определенных типов подозрительной активности. Дополнительные сведения об обнаружении DNS-атак см. в Обзор обнаружения вторжений.

Чтобы включить обнаружение DNS-атак, выполните следующие действия.

  1. В дереве консоли управления Forefront TMG щелкните папку Политика межсетевого экрана.

  2. На вкладке Задачи щелкните Настройка обнаружения DNS-атак.

  3. На вкладке DNS-атаки выберите параметр Включить обнаружение и фильтрацию DNS-атак.

  4. Выберите один или несколько параметров из следующего списка.

    • Переполнения имен узлов DNS. Если этот параметр выбран, Forefront TMG проверяет попытки переполнения имен узлов DNS. Фильтр DNS перехватывает и анализирует DNS-трафик, направленный во внутреннюю сеть. Переполнение имен узлов DNS происходит в том случае, когда ответ DNS для имени узла превышает определенную длину (255 байт).

    • Переполнение длины DNS. Если этот параметр выбран, Forefront TMG проверяет попытки переполнения длины DNS. Переполнение длины DNS происходит в том случае, если ответ DNS для IP-адреса превышает определенную длину (4 байта).

    • Передача зон DNS. Если этот параметр выбран, Forefront TMG проверяет попытки передачи зон DNS. Попытка передачи зон DNS происходит, когда клиентская система использует приложение DNS-клиента для передачи зон с внутреннего DNS-сервера.

  5. Нажмите кнопку ОК для закрытия диалогового окна.

  6. В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем кнопку ОК.

Примечания

  • По умолчанию обнаружение DNS-атак включено для выявления попыток переполнения длины DNS и атак с передачей зон DNS.

  • Когда при включенном обнаружении DNS-атак обнаруживаются подозрительные пакеты, они пропускаются, и генерируется событие, которое выдает предупреждение о DNS-атаке.