访问DNS到底是否要禁止？

头号土匪

貌似禁止以后，浏览器（IE、FF、CHROME）也是可以正常工作的，只不过拦截的数目有点多

柯林

回复 1楼 头号土匪  的帖子
如果你在系统服务里开启了DNS Client服务，域名解析是由svchost.exe代劳的，程序的DNS允许与否毫无影响；如果关闭了系统的DNS Client服务，就需要各个程序自己启用本身的域名解析功能，此时如果不允许，网络访问就会出故障。


   

slm513

回复 2楼 柯林  的帖子

貌似不是这样的，这个和DNS client服务应该没有什么关系，我记得允许了这个就允许程序多次调用svchost进行联网
   

slm513

回复 1楼 头号土匪  的帖子

经常联网的程序可以允许，偶尔联网的就禁止吧
   

柯林

回复 3楼 slm513  的帖子
你把系统服务里的DNS client服务禁用后实验一下

   

slm513

回复 5楼 柯林  的帖子

呵呵，我目前就是禁用状态，D+中禁止DNS，依然能上网
还有程序本身并没有DNS解析功能
   

will

封DNS的80端口是没问题的

柯林

回复 6楼 slm513  的帖子
已验证，这个问题需要重新认识：
在comodo这里，这个功能和其他防火墙的有所差别，这里是作为D+的一个AD行为加以判定，不同于其他防火墙【例如jetico】的直接与53端口挂钩，如果要屏蔽，还需要在防火墙规则中加上禁止访问远程53端口的规则。可能，在comodo这里，仅仅是作为一个AD行为——是否允许访问RPC控制面板的DNS服务，仅仅是一个RPC服务支持，而不是完整的DNS服务。

   

lorchid

正如LS所说，该选项只是监控应用程序访问DNS服务。这项监控的作用官方也解释的很清楚了（帮助文档中有），是为了防止不法程序利用DNS服务发起如DDOS之类的攻击。

引自局长教学贴：

DNS Client Service DNS客户端服务
病毒程序有可能为了运行DNS（域名系统）递归攻击而访问windows DNS service。这是典型的DDOS洪水攻击，病毒程序向DNS server发送成千上万的欺骗请求。DNS洪水攻击是一种由恶意实体向DNS服务器发送成千上万的虚假请求而造成的分布式拒绝服务攻击。这些请求富于欺骗性，因为它们似乎是来自目标或“受害者”的服务器，但实际上来自不同的机源－－通常是一个未经主人允许的网络上的“僵尸”电脑发出了这些请求。DNS服务器被欺骗后发送所有的回复到受害服务器，使受害服务器无法抵抗而崩溃。选择此项设置能阻止恶意程序使用域名系统为客户服务发起此类攻击。