Réponses DNS aléatoires abandonnées sur le pare-feu lorsque la sécurité DNS est activée (profil anti-spyware)

Réponses DNS aléatoires abandonnées sur le pare-feu lorsque la sécurité DNS est activée (profil anti-spyware)

3647
Created On 06/09/23 22:03 PM - Last Modified 06/02/25 20:03 PM


Symptom


  • Les réponses DNS aléatoires sont abandonnées sur le pare-feu lorsque la sécurité DNS est activée sur le profil antispyware appliqué à la politique, règle, mesures de sécurité appropriée.
  • Cela se produit probablement sur les nouvelles URL qui n'ont pas été résolues précédemment.
  • Les compteurs globaux indiquent que les compteurs avec « ctd_dns » sont incrémentés. Les plus pertinents à cet égard sont :
    • ctd_dns_req_lookup_miss
    • ctd_dns_req_lookup_noaction
    • ctd_dns_reply_wait
    • ctd_dns_wait_pkt_drop
    • ctd_dns_pkt_retransmit
  • Lors de la capture du trafic sur le pare-feu, des pertes sont observées lorsque l'un de ces compteurs s'incrémente :
    • ctd_dns_reply_wait
    • ctd_dns_wait_pkt_drop

Environment


  • Pare-feu de Palo Alto
  • PAN-OS 9.1 et supérieur
  • Sécurité DNS activée sur le profil antispyware

Cause


  • Le pare-feu abandonnera la réponse DNS si la réponse/le verdict du cloud n'est pas reçu au moment de délai d'expiration DNS du cloud.
  • Cependant, la requête DNS initiale (partie de la réponse DNS qui a été abandonnée) sera retransmise au serveur DNS pour une autre tentative de résolution DNS .

Resolution


  1. Selon le cas d'utilisation et les exigences, le délai d'expiration de la recherche de signature DNS (ms) peut être modifié en accédant à APPAREIL > Configuration > ID de contenu > Recherche de signature en temps réel comme indiqué ci-dessous :

Realtime signature lookup

  1. Cette valeur spécifiera la durée, en millisecondes, pendant laquelle le pare-feu interroge le service de sécurité DNS .
  2. Si le cloud ne répond pas avant la fin de la période spécifiée , le pare-feu libère la réponse DNS associée au client demandeur.
  3. La valeur peut être définie entre 0 et 60 000, la valeur par défaut est 100.
  4. Une valeur élevée augmentera les risques de latence comme mentionné dans cet article.
  5. La diminution de cette valeur réduira la latence, mais cela coût un compromis en matière de sécurité :
    1. Si une requête malveillante est émise avant qu'une réponse de verdict ne soit reçue, le profil antispyware peut initialement l'autoriser.
    2. L' antispyware ne pourra agir sur les requêtes malveillantes ultérieures qu'une fois le verdict reçu et le FQDN mis en cache.
  6. La valeur doit être ajustée en fonction des exigences de l’organisation.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bpztCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language