USG9560部署在校(xiào)園網出口,學校(xiào)內(nèi ↑↔)部DNS服務器(qì)和(hé)外(wài)界DNS同步業$→©>(yè)務中斷,在外(wài)部PC使用(yòng)t×φ✔ elnet命令測試內(nèi)網DNS服務器(qì)5♥ ✔§3端口的(de)時(shí)候發現(xiàn)53端口不(bù)通(αεεδtōng)。
USG9560開(kāi)啓DNS flood防攻擊功能×£(néng)以後,如(rú)果USG收到(dào)的(deε§)外(wài)部DNS服務器(qì)發送的(d ±λe) UDP端口為(wèi)53的(de)包超過設定的(de↑ )值後,DNS會(huì)僞造一(yī)個(g♣è)TCP報(bào)文(wén)發給外(wài)部DNS服務器(qì),♦₽該報(bào)文(wén)ACK的(de)值非常大(dà),♣γ®如(rú)果外(wài)部服務器(qì)回應該TCP包,USG≥$則将該外(wài)部服務器(qì)的(de)IP加£÷入白(bái)名單,允許其UDP報(bào)文(wén)γλ通(tōng)過,但(dàn)是(shì)USG僞造的(de)TCP報α♣×(bào)文(wén),可(kě)能(néng)會(huì)≥←被對(duì)端防火(huǒ)牆丢棄,導 ₹₹緻業(yè)務不(bù)通(tōng).
&₩"nbsp;在USG9560上(shàng)行(xíng)口抓包,發現(xiৠ✘n)防火(huǒ)牆已經将構造的(de)TCP報(bào)文↕↑✘∞(wén)發出,但(dàn)是(shì)對$α(duì)方并沒有(yǒu)回應,報(bào)文(wén)被中±←間(jiān)鏈路(lù)丢棄.
無