ccna90

قابلیت Response Rate Limiting در سرویس DNS

     Response Rate Limiting یک قابلیت امنیتی است جهت جلوگیری از حمله DoS چون یک حمله متداول DoS اینست که مقادیر بزرگی از ترافیک DNS را بسوی یک DNS Server مشخص ارسال میکند تا DNS Server قربانی overload شود و از کار بیفتد. با فعال شدن Response rate limiting، زمانی که DNS Server متوجه میشود که بصورت بالقوه خطر چنین درخواستهایی وجود دارد، از پذیرش آنها خودداری می نماید. چطور متوجه میشود؟ وقتی در مدت زمانی کوتاه از یک منبع مدام Query بسویش فرستاده میشود.

     بصورت پیشفرض قابلیت Response rate limiting غیرفعال است. برای فعال کردن آن باید در محیط Powershell دستور ذیل وارد شود:

Set-DnsServerResponseRateLimiting

دستور فوق قابلیت محدود شدن نرخ پاسخدهی را با مقادیر پیشفرضش فعال میکند.

     قابلیت Response Rate Limiting شامل پارامترهای ذیل میشود:

  • Responses per second : حداکثر تعداد دفعات مجازی که یک پاسخ در یک ثانیه بسوی یک کلاینت ارسال شود.
  • Error Per second : حداکثر تعداد دفعات مجاز برای ارسال یک پاسخ حاوی پیغام Error به یک کلاینت در یک ثانیه.
  • Window : وقتی یک کلاینت به تعداد خیلی زیاد و متوالی، Query ارسال میکند، DNS Server میتواند مدتی پاسخگویی به کلاینت فوق را به حال تعلیق درآورد. پارامتر windows بر حسب ثانیه است و مدت زمان تعلیق پاسخگویی را تعیین میکند.
  • Leak Rate : بعنوان مثال اگر یک DNS Server ( با استفاده از قابلیت window ) پاسخگویی به یک کلاینت را برای ده ثانیه متوقف کند و مقدار leak Rate=5 باشد، در طی همان ده ثانیه، کماکان DNS Server به یک Query از هر پنج Query دریافت شده از کلاینت فوق پاسخ خواهد داد. در واقع حد مجازی است برای پاسخگویی به درخواست های یک کلاینتی که مورد غضب DNS Server قرار گرفته و DNS Server تصمیم گرفته است که مدتی به درخواست های کلاینت های فوق پاسخ ندهد.

جهت شرکت در دوره های آموزشی سیسکو به صفحه دوره سیسکو مراجعه کنید. جهت شرکت در دوره های آموزشی MCSA و MCSE، علاقه مندان میتوانند به صفحه آموزش دوره های تخصصی شبکه های مایکروسافت رجوع کنند.

  • TC rate : اگر DNS Server پاسخگویی به یک کلاینت را به حال تعلیق درآورد، چنانچه مقدار TC rate را برابر n قرار دهید، کلاینت در صورتی که Query های خود را از طریق پروتکل TCP ارسال کند، DNS Server در طول دوران تعلیق از هر n درخواست این چنینی ( ارسالی بصورت TCP ) یکی را پاسخ میدهد. دقت کنید که مقدار TC rate نباید مساوی یا بیشتر از مقدار window باشد.
  • Maximum response : همانطور که مشاهده کردید، در طول دوران تعلیق پاسخگویی، کماکان از طریق قابلیت های leak rate و TC rate پاسخگویی به کلاینت مورد نظر ممکن است. پارامتر maximum response حداکثر تعداد دفعات مجاز برای پاسخگویی به یک کلاینت در حال تعلیق را تعیین میکند. یعنی اگر مقدار سه برای این پارامتر تعیین شود، بعد از سه بار پاسخگویی، دیگر از قابلیت های TC rate و leak rate نیز کاری ساخته نیست تا زمانی که دوران تعلیق به سر آید.
  • White list domains : میتوان دامین یا دامین هایی را در زمان فعال بودن قابلیت Response rate limit از محدودیت ایجاد شده معاف کرد.
  • White list subnets : میتوان Subnet یا Subnet هایی را در زمان فعال بودن قابلیت Response rate limit از محدودیت ایجاد شده معاف کرد.
  • White list Server interfaces : میتوان هنگام فعال بودن قابلیت Response rate limit تعیین کرد که Query های دریافت شده روی فلان NIC کامپیوتر DNS Server از محدودیت فوق معاف باشند.

 آکادمی تخصصی شبکه و امنیت. ITperfection

جهت دسترسی به اطلاعات بیشتر میتوانید به صفحه بلاگ آیتی پرفکشن مراجعه کنید.

آیتی پرفکشن تهیه کننده و ارایه دهنده دوره های تخصصی شبکه و امنیت میباشد. از دانشجویان عزیز دعوت میشود جهت شرکت در دوره های آموزشی شبکه و امنیت به صفحه دوره های آموزشی مراجعه کنند.

جهت شرکت در دوره های آموزشی سیسکو به صفحه دوره سیسکو مراجعه کنید.

0 پاسخ به "قابلیت Response Rate Limiting در سرویس DNS"

    ارسال یک پیغام

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    3 × 2 =

    کپی رایت آکادمی ITperfection.