Лекция. Система доменных имен(Domain Name System dns) и применение dns

Download 27,8 Kb.

bet	4/6
Sana	17.12.2022
Hajmi	27,8 Kb.
	#890067
Turi	Лекция

1 2 3 4 5 6

Bog'liq
10-лекция DNS

Максимальное количество ответов
Список подсетей белого списка

Ответов в секунду. Это максимальное число раз, когда один и тот же ответ будет передан клиенту в течение одной секунды.

Количество ошибок в секунду. Это максимальное число попыток отправки ответа об ошибке одному клиенту в течение одной секунды.

Окно. Число секунд, в течение которых ответы на клиент будут приостановлены при слишком большом количестве запросов.

Скорость утечки. Так часто DNS-сервер будет отвечать на запрос во время приостановки ответов. Например, если сервер приостанавливает ответы на клиент в течение 10 секунд, а скорость утечки составляет 5, сервер по-прежнему будет отвечать на один запрос для каждых 5 отправленных запросов. Это позволяет законным клиентам получать ответы, даже если DNS-сервер применяет ограничение скорости ответа для своей подсети или полного доменного имени.

Скорость TC. Это позволяет клиенту попытаться подключиться по протоколу TCP, если ответы на клиент приостановлены. Например, если скорость TC составляет 3, а сервер приостанавливает ответы на заданный клиент, сервер выдает запрос на TCP-соединение для каждого полученного 3 запроса. Убедитесь, что значение параметра "скорость TC" меньше, чем скорость утечки, чтобы предоставить клиенту возможность подключения через TCP перед утечкой ответов.

Максимальное количество ответов. Это максимальное число ответов, которые сервер будет выдавать клиенту, пока отменяются ответы.

Список доменов белого списка. Это список доменов, исключаемых из параметров RRL.

Список подсетей белого списка. Это список подсетей, исключаемых из параметров RRL.

Интерфейсы сервера белого списка. Это список интерфейсов DNS-сервера, исключаемых из параметров RRL.

Поддержка область «данные
Можно использовать поддержку область «данные ( RFC 6394 и 6698 ) , чтобы указать клиентам DNS, какие ЦС должны получать сертификаты для имен доменов, размещенных на DNS-сервере. Это предотвращает атаку "злоумышленник в середине", когда кто-то может повредить кэш DNS и указать DNS-имя на свой IP-адрес.
Например, предположим, что вы размещаете защищенный веб-сайт, использующий SSL по адресу www.contoso.com, используя сертификат из хорошо известного центра с именем CA1. Кто-то может получить сертификат для www.contoso.com от другого хорошо известного центра сертификации с именем CA2. Затем сущность, в которой размещается фальшивый веб-сайт www.contoso.com, может повредить кэш DNS клиента или сервера, чтобы указать www.contoto.com на свой фальшивый сайт. Конечный пользователь будет представлять сертификат из CA2 и может просто подтвердить его и подключиться к поддельному сайту. При использовании область «данные клиент отправляет запрос на DNS-сервер для contoso.com с запросом на запись ТЛСА и узнает, что сертификат для www.contoso.com был вызван CA1. Если он представлен сертификатом из другого ЦС, подключение прерывается.

Download 27,8 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6