Cisco Cisco Firepower Management Center 2000 Guia Do Utilizador
27-14
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
检测 DNS 域称服务器响应中的漏洞
理论上,任何类型的资源记录均可用于域名服务器响应消息的 Answer、 Authority 或 Additional
Information 部分。 DNS 预处理器会检查这三个响应部分中的资源记录是否存在其会检测的漏洞。
Information 部分。 DNS 预处理器会检查这三个响应部分中的资源记录是否存在其会检测的漏洞。
Type 和 RData 资源记录字段对于 DNS 预处理器特别重要。 Type 字段识别资源记录类型。 RData
(资源数据)字段提供响应内容。 RData 字段的大小和内容因资源记录类型而异。
DNS 消息通常使用 UDP 传输协议,但如果消息类型需要可靠传输或者消息大小超过 UDP 能力,
DNS 消息也会使用 TCP。 DNS 预处理器会检查 UDP 和 TCP 流量中的 DNS 服务器响应。
DNS 消息也会使用 TCP。 DNS 预处理器会检查 UDP 和 TCP 流量中的 DNS 服务器响应。
DNS 预处理器不会检查在中途恢复的 TCP 会话,如果会话因丢包而丧失状态, DNS 预处理器将
会停止检查。
会停止检查。
为 DNS 预处理器配置的典型端口为已知端口 53, DNS 域名服务器对在 UDP 和 TCP 中传输的
DNS 消息使用该端口。
DNS 消息使用该端口。
检测 RData 文本字段中的溢出尝试
许可证:保护
当资源记录类型为 TXT (文本)时, RData 字段为长度可变的 ASCII 文本字段。
如果选择 DNS 预处理器的
Detect Overflow attempts on RData Text fields
选项,将会检测条目
CVE-2006-3441 在 MITRE 的通用漏洞字典数据库中识别出的具体漏洞。这是 Microsoft Windows
2000 Service Pack 4、Windows XP Service Pack 1、Windows XP Service Pack 2 和 Windows Server
2003 Service Pack 1 中的已知漏洞。攻击者可以利用该漏洞发送或者导致主机接收恶意域名服务
器响应,导致 RData 文本字段长度计算错误,造成缓冲区溢出,最终全面控制主机。
2000 Service Pack 4、Windows XP Service Pack 1、Windows XP Service Pack 2 和 Windows Server
2003 Service Pack 1 中的已知漏洞。攻击者可以利用该漏洞发送或者导致主机接收恶意域名服务
器响应,导致 RData 文本字段长度计算错误,造成缓冲区溢出,最终全面控制主机。
如果网络上可能有主机运行尚未升级纠正该漏洞的操作系统,应该启用此功能。
可以启用规则 131:3 为此选项生成事件。有关详情,请参见
。
检测过时的 DNS 资源记录类型
许可证:保护
RFC 1035 将多种资源记录类型识别为过时类型。由于这些是过时记录类型,因此,某些系统未对
其进行说明,可能容易产生漏洞。在正常 DNS 响应中不会遇到这些记录类型,除非故意将网络
配置为包含这些记录类型。
其进行说明,可能容易产生漏洞。在正常 DNS 响应中不会遇到这些记录类型,除非故意将网络
配置为包含这些记录类型。
可以将系统配置为会检测过时的资源记录类型。下表列出并说明这些记录类型。
可以启用规则 131:1 为此选项生成事件。有关详情,请参见
。
表
27-3
过时的
DNS
资源记录类型
RR 类型
代码
说明
3
MD
邮件目的地
4
MF
邮件转发器