Zufällige DNS -Antworten werden von der Firewall gelöscht, wenn die DNS Sicherheit aktiviert ist (Anti-Spyware-Profil)
3880
Created On 06/09/23 22:03 PM - Last Modified 06/02/25 20:03 PM
Symptom
- Zufällige DNS -Antworten werden von der Firewall gelöscht, wenn die DNS Sicherheit im Anti-Spyware Profil aktiviert ist, das auf die entsprechende Richtlinie angewendet wird.
- Tritt wahrscheinlich bei neuen URLs auf, die zuvor nicht aufgelöst wurden.
- Globale Zähler geben an, dass Zähler mit „ ctd_dns“ inkrementiert werden. Die wichtigsten in diesem Zusammenhang sind:
- ctd_dns_req_lookup_miss
- ctd_dns_req_lookup_noaction
- ctd_dns_reply_wait
- ctd_dns_wait_pkt_drop
- ctd_dns_pkt_retransmit
- Beim Erfassen des Datenverkehrs auf der Firewall kommt es zu Datenverlusten, wenn einer der folgenden Zähler einen Wert erhöht:
- ctd_dns_reply_wait
- ctd_dns_wait_pkt_drop
Environment
- Palo Alto Firewalls
- PAN-OS 9.1 und höher
- DNS Sicherheit im Anti-Spyware Profil aktiviert
Cause
- Die Firewall verwirft die DNS Antwort, wenn bis zum Cloud-DNS- Timeout keine Cloud Antwort /Beurteilung eingeht.
- Die ursprüngliche DNS Abfrage (der Teil der DNS Antwort , der gelöscht wurde) wird jedoch für einen weiteren DNS Auflösungsversuch erneut an den DNS Server übertragen.
Resolution
- Je nach Anwendungsfall und Anforderungen kann das Timeout (ms) für die DNS Signatursuche geändert werden, indem Sie zu GERÄT > Setup > Inhalts-ID > Echtzeit-Signatursuche navigieren, wie unten gezeigt:
- Dieser Wert gibt die Zeitdauer in Millisekunden an, die die Firewall benötigt, um den DNS Sicherheitsdienst abzufragen.
- Sollte innerhalb der angegebenen Zeitspanne keine Antwort der Cloud erfolgen, gibt die Firewall die zugehörige DNS Antwort an den anfragenden Client frei .
- Der Wert kann zwischen 0 und 60.000 eingestellt werden, der Standard(-) ist 100.
- Ein hoher Wert erhöht die Wahrscheinlichkeit einer Latenz, wie in diesem Artikel erwähnt.
- Durch die Verringerung dieses Werts wird die Latenz verringert, allerdings müssen dafür Kompromisse hinsichtlich der Sicherheit Kosten werden :
- Wenn eine bösartige anfordern/Anforderung gestellt wird, bevor eine Antwort auf das Urteil eingeht, kann das Anti-Spyware Profil sie zunächst durchlassen.
- Die Anti-Spyware kann bei nachfolgenden bösartigen Anfragen erst dann Maßnahmen ergreifen, wenn das Urteil vorliegt und der FQDN zwischengespeichert ist.
- Der Wert muss entsprechend den Anforderungen der Organisation angepasst werden.