فهم حماية DNS في جدار الحماية الآمن 7.7.0
المحتويات
المقدمة
يصف هذا المستند ميزة "حماية DNS" في "جدار الحماية الآمن" 7.7.0، مع التركيز على وظائفه واستكشاف أخطائه وإصلاحها.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- فهم بروتوكول DNS وجلسات عمل UDP
- التعرف على Snort 3 وإدارة جلساته
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- الدفاع ضد تهديد جدار الحماية الآمن (FTD)، الإصدار 7.7.0
- مركز إدارة Firepower (FMC)، الإصدار 7.7.0
- نورت الإصدار 3
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
DNS هو بروتوكول يستند إلى إستجابة طلب UDP مع جلسات قصيرة العمر. بخلاف Lina، لا يتم مسح جلسات DNS في Snort 3 فورا بعد إستجابة DNS. وبدلا من ذلك، يتم تنقيح جلسات عمل DNS استنادا إلى مهلة تدفق تبلغ 120 ثانية أو أكثر. يؤدي ذلك إلى تراكم الجلسة غير الضروري، والذي يمكن إستخدامه بخلاف ذلك لاتصالات TCP أو UDP الأخرى.
مقارنة مع الإصدار السابق
ميزة جديدة في 7.7
الميزات الجديدة
- تعمل ميزة "حماية DNS" هذه على مسح تدفق UDP مباشرة بعد إستلام حزمة إستجابة DNS وفحصها.
- هذا تحسين خاص بالبروتوكول على التصميم والهيكل الحاليين ل Snort 3.
الأساسيات: الأنظمة الأساسية المدعومة، الترخيص
الأنظمة الأساسية ومديري FTD
الأنظمة الأساسية المدعومة
جوانب الدعم الأخرى
الترخيص والتوافق
المشكلة
في الإصدارات السابقة، وخاصة جدار الحماية الآمن 7.6 وما بعده، تظل جلسة عمل DNS كتدفق Snort 3 قديم حتى يتم تنقيحها بواسطة مهلة UDP. ويسبب ذلك مشاكل في إدارة جلسات العمل ويمكن أن يؤدي إلى إستخدام غير كفء للموارد حيث تتراكم جلسات نظام أسماء النطاقات دون داع.
خطوات إعادة إنشاء المشكلة
لمراقبة المشكلة، قم بتنفيذ الأمر lina للتحقق من إتصالات DNS النشطة من جانب Lina:
show conn detail
في جدار الحماية الآمن 7.6 وما بعده، تظل جلسات عمل DNS نشطة حتى انتهاء مهلة UDP، مما يؤدي إلى عدم كفاءة الموارد.
الحل
تعالج ميزة "حماية DNS" في جدار الحماية الآمن 7.7.0 هذه المشكلة عن طريق مسح تدفق UDP فورا بعد إستلام حزمة إستجابة DNS وفحصها. ويضمن هذا التعزيز الخاص بالبروتوكول أن تصدر جلسات نظام أسماء النطاقات في Snort 3 فورا، مما يمنع تراكم الجلسات غير الضرورية ويحسن كفاءة الموارد.
نظرة عامة على الميزة
تقوم ميزة "حماية DNS" بمسح تدفق UDP مباشرة بعد إستلام حزمة إستجابة DNS وفحصها. لا يجب أن ينتظر تدفق الشخير حتى تظهر مهلة UDP.
- عند وجود حركة مرور DNS كافية على المربع، تؤدي هذه الميزة إلى عدد أقل من التدفقات النشطة بسبب التنظيف المناسب لتدفقات SNORT المقابلة.
- يمكن معالجة المزيد من إتصالات TCP/UDP بواسطة المربع دون إجراء تشذيب للاتصالات النشطة، مما يحسن من فعالية المربع بشكل عام.
استكشاف الأخطاء وإصلاحها
للتحقق من وظائف ميزة "حماية DNS"، أستخدم الأمر Lina لضمان إصدار جلسات عمل UDP عند تلقي إستجابة DNS:
>show snort counters | begin stream_udp
إخراج المثال بدون ميزة حماية DNS:
stream_udp sessions: 755
max: 12
created: 755
released: 0
total_bytes: 124821
>show snort counters | begin stream_udp
إخراج المثال باستخدام ميزة حماية DNS:
stream_udp sessions: 899 max: 14 created: 899 released: 899 total_bytes: 135671
تشير المخرجات إلى أنه يتم إصدار جميع الجلسات التي تم إنشاؤها في الوقت المناسب، مما يؤكد التشغيل الصحيح لميزة "حماية DNS".
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
23-Sep-2025
|
الإصدار الأولي |
التعليقات