在安装了安全更新 953230 (MS08-037) 后,穿过防火墙发送的 DNS 查询不使用随机源端口。

文章翻译 文章翻译
文章编号: 956190 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

在基于 Microsoft Windows 的计算机上安装了安全更新 953230 (MS08-037) 后,从计算机穿过防火墙发送的域名系统 (DNS) 查询不使用随机源端口。

原因

发生此问题的原因是网络地址转换 (NAT) 设备更改了源和目标 IP 地址。这些设备也经常会更改源端口,避免多个内部主机尝试使用同一源端口发送通信时可能会发生的资源冲突。因为许多现代防火墙实际上是在内部禁止传出通信,并为 NAT 创建了 新的外部套接字,所以这些防火墙在同一外部 IP 上使用相同的源端口时就会导致冲突。因此,这些防火墙对来自 NAT 的通信使用了连续端口分配。即使将安全更新 953230 应用于内部 NAT 主机,更新后的 DNS 解析程序所使用的随机端口也可能在外部被视为使用连续端口分配。

解决方案

要解决此问题,请使用下列方法之一:
  • 在 DNS 服务器和 Internet 之间建立路由网络关系。相关的功能和方法具体取决于所使用的防火墙技术。这可能要求将 DNS 服务器重定向到其他子网,以便该服务器与 Internet 之间的关系不再使用 NAT。
  • 如果使用的是单个 DNS 服务器,则可以在 Windows Server 2003 或 Windows Server 2008 DNS 服务中实现拆分 DNS 解决方案。在该方案中,必须可从两个 IP 地址获取该 DNS 服务器。其中一个 IP 地址位于 NAT 服务器网络内部,而另一个位于该网络外部。内部工作站对该 DNS 服务器执行查询。如果已安装了安全更新 953230,则该 DNS 服务器将使用端口随机化功能将外部请求转发到其他 DNS 服务器。

    为此,请打开 DNS 管理工具,单击该服务器,然后双击“转发器”。单击“转发器”选项卡,然后配置“所有其他 DNS 域”选项。这样,该服务器会自动将其未处理的任何 DNS 域请求转发到“所选域的转发器的 IP 地址”列表中列出的服务器。将上游提供商的 DNS 服务器添加到此列表中。

    应将内部工作站配置为使用 DNS 服务器的内部 IP 地址。此操作可手动设置,也可通过使用动态主机配置协议 (DHCP) 选项设置。

    注意:在拆分 DNS 解决方案中使用单个 DNS 服务器可以让客户体验到 DNS 端口随机化的好处。但是,该配置增加了一条从 Internet 到企业或本地网络的路径。该配置可能会增加遭受来自 Internet 威胁的风险。
  • 您也可以将拆分 DNS 解决方案配置为使用两个服务器,而不是一个服务器。在该方案中,其中一个 DNS 服务器位于 NAT 服务器所在网络的外部,而另一个位于 NAT 服务器所在网络的内部。按照单个 DNS 服务器方案中的说明配置内部服务器,但在“转发器 IP 地址”列表中列出外部 DNS 服务器的地址,而不是上游提供商的地址。由于外部 DNS 服务器位于 NAT 服务器所在网络的外部,因此端口随机化功能不会被中断。
  • 请与防火墙供应商联系以了解是否有计划为其防火墙产品发布的更新。

更多信息

有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
953230 MS08-037:DNS 中的漏洞可能导致欺骗
812873 如何在运行 Windows Server 2003 或 Windows 2000 Server 的计算机上保留一定范围的暂时端口 (EN)
956188 在安装了 DNS 服务器服务安全更新 953230 (MS08-037) 后,UDP 相关的网络服务出现问题
956187 Microsoft 安全公告:DNS 欺骗漏洞的威胁增加
956189 安装了 DNS 服务器安全更新 953230 (MS08-037) 后,在运行 Windows SBS 的计算机上某些服务可能无法启动或无法正常工作

属性

文章编号: 956190 - 最后修改: 2008年7月31日 - 修订: 1.2
这篇文章中的信息适用于:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2?当用于
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1?当用于
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3?当用于
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Service Pack 2?当用于
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server SP4?当用于
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
关键字:?
kbexpertiseinter kbtshoot KB956190
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com