1、通知客户端使用TCP的方式
DNS是可以通过TCP的方式进行DNS查询的,如果DNS服务器在响应报文中回应需要使用TCP的报文进行查询,那么正常的客户端会使用进行TCP方式的DNS查询,如果是虚假客户端则不会响应。以这种方式与TCP的源认证类似,当客户端正常响应了服务器的回应使用TCP方式进行DNS查询,那么防火墙就会将该源IP记录到白名单中,后续的DNS查询将不会对其进行DNS防范
2、DNS重定向的方式
DNS重定向的方式去判断客户端的真实性,当客户端发送DNS请求的时候,会向客户端发送DNS重定向,表示若客户端想要去查询它的目的DNS,那么它就应该先去查询另外由FW指定的域名,于是若防火墙接收到这个额外的DNS请求就表示这个客户端时真实存在的。
那么针对第一种方式,很有可能客户端无法支持TCP的DNS请求而导致错误的防范,第二种相对于第一种具有比较好的容错率。