DNS Cache Locking в Windows Server 2008 R2 | Windows для системных администраторов

DNS Cache Locking в Windows Server 2008 R2

Одним  из новшеств, существенно  улучшающих безопасность DNS сервера в Windows Server 2008 R2, является  DNS Cache Locking (блокировка кэша DNS), которая позволяет задать особые настройки использования кэша, запрещающие его перезапись (изменение) в течение некоторого времени TTL.

В чем же принцип данной технологии? Когда рекурсивный сервер DNS отвечает на запрос, он кэширует его результаты для того, чтобы в дальнейшем быстро ответить на  подобный запрос, без выполнения повторного запроса к вышестоящему DNS серверу. Период времени, в течении которого DNS сервер будет хранить информацию в своем кэше,  определяется значением TTL (Time to Live или время жизни) для ресурсной записи. До тех пор, пока период   TTL не истечет, информация в кэше  может быть перезаписана, в случае получения новой информации о записи ресурса.  Но в случае, если злоумышленник сможет переписать информацию в кэше DNS, он сможет перенаправить трафик из вашей сети на вредоносный сайт. Данная технологии как раз и предназначена для борьбы с атаками типа «отравление кэша» (cache poisoning).

Значение cache locking задается в процентах. Например, если значение cache locking равно 50, это означает, что DNS сервер не перезапишет информацию в своем кэше в течение времени, равном половине TTL. По умолчанию, значение cache locking равно 100. Это значит, что кэшированные записи не могут быть перезаписаны в течении всего времени TTL. Значение cache locking хранится в ключе реестра CacheLockingPercent. В том случае, если такого ключа нет, то сервер DNS будет использовать по умолчанию значение cache locking  равное 100.

Настройка CacheLocking  может быть осуществлена из командной строки при помощи утилиты DNSCMD. Как пользоваться утилитой DNSCMD я уже писал.

Текущее значение этого параметра вы можете получить с помощью ключа /info утилиты DNSCMD.

dnscachelocking

Само значение хранится в ключе типа DWORD в ветке реестра
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDNSParameters

Хорошей идеей было бы распространить нужное вам значение этого ключа реестра на все ваши DNS сервера при помощи Group Policy Preferences, например, как показано на рисунке.

dnscachelocking1

Еще записи по теме: DNS, Windows Server 2008
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00101 sec