Фильтр DNS в Forefront TMG перехватывает и анализирует весь DNS-трафик, адресованный на опубликованные DNS-серверы (то есть DNS-серверы, доступные по правилам публикации). Если обнаружение DNS-атак включено, можно указать типы подозрительных действий, которые должны проверяться фильтром DNS.

Дополнительные сведения об обнаружении DNS-атак см. в разделе Планирование защиты от распространенных атак и DNS-атак.

Включение обнаружения и фильтрации DNS-атак

  1. В дереве консоли управления Forefront TMG щелкните узел Система предотвращения вторжений.

  2. В области сведений на вкладке Поведенческое обнаружение вторжений щелкните Настройка параметров обнаружения для распространенных сетевых атак.

  3. На вкладке DNS-атаки выберите параметр Включить обнаружение и фильтрацию DNS-атак.

  4. Выберите один или несколько типов подозрительных действий:

    • Переполнения имен узлов DNS — выберите этот параметр, чтобы в Forefront TMG выполнялась проверка попыток переполнения имен узлов DNS. Фильтр DNS перехватывает и анализирует DNS-трафик, направленный во внутреннюю сеть. Переполнение имен узлов DNS происходит в том случае, когда ответ DNS для имени узла превышает заданную длину (255 байт).

    • Переполнения длины DNS — выберите этот параметр, чтобы в Forefront TMG выполнялась проверка попыток переполнения длины DNS. Переполнение длины DNS происходит в том случае, если ответ DNS для IP-адреса превышает определенную длину (4 байта).

    • Передача зон DNS — выберите этот параметр, чтобы в Forefront TMG выполнялась проверка попыток передачи зон DNS. Попытка передачи зон DNS происходит, когда клиентская система использует приложение DNS-клиента для передачи зон с внутреннего DNS-сервера.

  5. Нажмите кнопку ОК.

  6. В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем — кнопку ОК.

Примечание.
  • По умолчанию обнаружение DNS-атак включено для выявления попыток переполнения длины DNS и имен узлов DNS.

  • Когда при включенном обнаружении DNS-атак обнаруживаются подозрительные пакеты, они пропускаются, и генерируется событие, которое выдает предупреждение о DNS-атаке.

См. также


© Корпорация Майкрософт, 2009 Все права защищены.