Pourquoi la valeur TTL des paquets DNS est-elle parfois modifiée à 30 secondes ?

• Pare-feu de nouvelle génération de la série PA
• PAN-OS 10.2
• Sécurité DNS

1. Si l’appareil dispose d’une licence de sécurité DNS et que le profil Anti-Spyware est appliqué au trafic DNS, le traitement de la recherche de signature DNS est effectué dans le Cloud.
2. S’il n’y a pas de réponse (ou de délai d’expiration) du Cloud, la durée de vie de ce paquet DNS passe à 30 secondes.
3. Cette valeur de 30 secondes ne peut pas être ajustée.
4. La modification de cette valeur de délai d’attente est la suivante.

Device > Setup > Content-ID > Realtime Signature Lookup > DNS Signature Lookup Timeout (ms)

5. L’exclusion de ce processus de recherche de signature DNS est le paramètre suivant.

Objects > Anti-Spyware > [Profile] > DNS Exceptions > DNS Domain/FQDN Allow list

6. Le compteur global « ctd_dns_modify_ttl » est compté lorsqu’un changement de durée de vie se produit.