x
تبلیغات

 

استفاد از قابلیت DNS Cache Locking به شما امکان کنترل مدت زمانی که می خواهید سپری شود و در این مدت، امکان بازنویسی اطلاعات موجود در DNS Server Cache وجود نداشته باشد را در اختیارتان می گذارد. برای درک بهتر این قابلیت، به مثال زیر توجه کنید:

 

فرض کنید هنگامی که درخواستی برای resolve کردن یک آدرس اینترنتی به DNS Server موجود در شبکه داخلی خود ارسال می کنید، این سرور جهت پاسخ دادن به درخواست شما، درخواستی را به سوی DNS Server دیگری ارسال داشته و بعد از پاسخ به درخواست کننده، آن را در حافظه Cache خود به صورت موقت نگهداری می نماید.این عملیات بدان علت است که در صورت نیاز به resolve آدرسی مشابه، نیازی به ارسال درخواست به سوی DNS Server دیگر نبوده و در سریع ترین زمان ممکن، پاسخ درخواست دهنده داده شود.

 

سوالی که در اینجا مطرح می شود آنست که DNS Server از کجا می داند که چه زمانی را می بایست برای ذخیره سازی رکورد resolve شده در حافظه Cache خود، در نظر بگیرد؟

پاسخ به این سوال در اطلاعات موجود در فیلد Time to Live و یا به اختصار، TTL نهفته است.

 

هر رکورد DNSی، به همراه خود شامل اطلاعاتی می باشد که به درخواست کننده رکورد مورد نظر می فهماند که چه مدتی می تواند بدون ایجاد درخواستی مجدد، از اطلاعات بدست آمده استفاده کند. این فیلد TTL نام دارد و به منظور مشاهده آن می توانید طبق تصاویر زیر عمل کنید:

 

1

 

با انجام عملیات فوق، حال اگر اقدام به مشاهده جزئیات مرتبط با یک رکورد نمایید، با رخداد زیر مواجه خواهید شد:

 

2

 

3

 

همانطور که در تصویر فوق مشاهده می نمایید، به صورت پیش فرض، در DNS Server مبتنی بر سیستم عامل های مایکروسافتی، عدد انتخاب شده برای TTL مرتبط با هر رکورد، یک ساعت می باشد. بدین ترتیب، هنگامی که یک DNS Server اقدام به دریافت این اطلاعات از DNS Server دارانده این رکورد نماید، پاسخ دریافت شده را برای مدت 1 ساعت در حافظه Cache خود نگهداری می نماید.

 

حال بازگردیم به بررسی قابلیت DNS Cache Locking. بر اساس این قابلیت، شما می بایست درصدی از مدت زمان TTL را بر روی DNS Server پیکربندی نمایید که بواسطه آن، بعد از سپری شدن این مدت، امکان overwrite نمودن رکورد مورد نظر در حافظه Cache مجاز باشد. به عبارت دیگر، فرض کنید که درصد در نظر گرفته شده 50 باشد. در این حالت، با فرض آنکه TTL مرتبط با یک رکورد، 1 ساعت در نظر گرفته شود، می بایست حدود نیم ساعت از زمان قرارگیری اطلاعات resolving رکورد مورد نظر بگذرد تا بدین ترتیب، DNS Server بتواند اطلاعات این رکورد را در حافظه Cache، مورد تغییر قرار دهد. با استفاده از این قابلیت می توانید DNS Server را در مقابل حملاتی از نوع DNS Cache Poisoning مقاوم سازی نمایید.

 

نکته: به صورت پیش فرض، DNS Server ارائه شده بر روی Windows Server 2016، به گونه ایی پیکربندی شده است که برای قابلیت DNS Cache Locking، عدد 100 در نظر گرفته شده است. به عبارت دیگر، در این سیستم عامل، می بایست TTL مرتبط با یک رکورد به انتها برسد تا DNS Server بتواند رکورد مورد نظر را overwrite نماید. به شکل زیر نگاه کنید:

 

4

 

و یا:

 

5

 

اگر چه این موضوع می تواند به عنوان یکی از امکانات امنیتی بسیار قدرتمند در نظر گرفته شود، اما مشاهده می شود که در بعضی از سناریوها ممکن است برای شما مشکل آفرین باشد. به سناریوی زیر توجه کنید:

 

فرض کنید که شبکه سازمان شما با یک سازمان دیگر در ارتباط است و شما از قابلیت Conditional Forwarders جهت resolve نمودن منابع موجود در دامین سازمان همکار خود استفاده می کنید. همچنین فرض کنید که در شبکه سازمان همکار، یک Web Server وجود دارد که کاربران شبکه شما از آن استفاده می نمایند. در این حالت، به دلایلی، مدیر شبکه آن سازمان اقدام به تغییر آدرس IP مرتبط با Web Server مورد نظر را می نماید. در این حالت، دسترسی به Web Server مورد نظر از سوی کاربرانی که از آن استفاده می نمودند، با مشکل مواجه می شود. در این سناریو، کدامین قابلیت باعث چنین مشکلی شده است و چگونه می توان آن را مرتفع نمود؟

 

همانطور که حدس می زنید، علت بروز چنین مشکلی، فعال بودن قابلیت DNS Cache Locking می باشد. از آنجایی که این قابلیت در دسته قابلیت های امنیتی طبقه بندی می گردد، غیر فعال نمودن آن جهت مرتفع نمودن سناریوی فوق، امری منطقی به نظر نمی رسد. این در حالیست که می توان آنرا بر اساس نیاز سازمانی شما، پیکربندی نمود. بدین منظور می توانید درصد اختصاص داده شده به این قابلیت را از 100 (همانطور که در بالا نیز بدان اشاره شد، به صورت پیش فرض، درصد در نظر گرفته شده برای این قابلیت 100 می باشد)، به عددی بسیار پایین تر تبدیل نموده و بعد از حل مشکل آن را مجددا به 100 باز گردانیم. بدین منظور می توانید از یکی از روش های زیر استفاده کنید:

 

6

 

و یا:

 

7

 

توجه داشته باشید که بعد از انجام عملیات فوق، می بایست سرویس DNS Server را ری استارت نمایید. بدین منظور کافیست:

 

8

 

بعد از انجام عملیات فوق، به منظور بازگرداندن دسترسی ایستگاه های کاری به Web Server مورد نظر، یا آنها را ری استارت نمایید و یا آنکه دستور ipconfig /flushdns را بر روی آنها اجرا کنید.