web-dev-qa-db-ja.com

大学が宛先ポート53で着信UDPトラフィックをブロックするのはなぜですか?

私の理解では、DNSはUDPとポート53を使用しています。ポート番号53への着信UDPパケットがブロックされていないと、どのような望ましくないことが起こりますか?

更新:パケットは、大学が運営するローカルDNSサーバーまたは大学が運営する権威DNSサーバーに発信または宛先が許可されます。

20
Daniel Kobe

ロジックは次のように機能します。

  1. インターネットにレコードを提供する信頼できるDNSサーバーのみが公開されます必須
  2. インターネットに公開されているオープンな再帰サーバーは、必然的にネットワークスキャンによって検出され、悪用されます。 (user1700494の回答を参照)
  3. 誰かが誤って公開された再帰サーバーを立ち上げる可能性は、公開された信頼できるDNSサーバーの可能性よりも高くなります。これは、多くのアプライアンスと「すぐに使える」構成がデフォルトで無制限の再帰を許可するためです。信頼できる構成ははるかにカスタマイズされており、まれにしか発生しません。
  4. 1〜3の場合、宛先ポートが53のすべての一方的な着信トラフィックをドロップすると、ネットワークが保護されます。別の信頼できるDNSサーバーをネットワークに追加する必要があるというまれなイベント(計画されたイベント)では、例外を必要に応じて定義できます。
40
Andrew B

たとえば、攻撃者は大学のDNSサーバーを DNS Amplification DDoS Attack の中継ホストとして使用する可能性があります。

24
user1700494

アンドリューBの答えは素晴らしい。彼が言った事。

「ポート番号53への着信UDPパケットがブロックされなかった場合、どのような望ましくないことが起こる可能性がありますか?」という質問に答えるために。より具体的には、「DNSベースの攻撃」をググって この便利な記事 を取得しました。言い換えると:

  1. 分散リフレクションDoS攻撃
  2. キャッシュポイズニング
  3. TCP SYNフラッド
  4. DNSトンネリング
  5. DNSハイジャック
  6. 基本的なNXDOMAIN攻撃
  7. ファントムドメイン攻撃
  8. ランダムサブドメイン攻撃
  9. ドメインロックアップ攻撃
  10. CPEデバイスからのボットネットベースの攻撃

これは、可能なDNSベースの攻撃の決定的なリストではなく、記事で言及するのに十分注目すべきであると判断した10のリストです。

本当に、短い答えは「あなたがそれを公開することを持っていないなら、しないでください」です。

11

彼らはそれをブロックしている、なぜならそれは可能であり、それは賢明なセキュリティポリシーだからである。

問題は多くの場合、潜在的なオープンリゾルバーよりも深刻です-一日の終わりに、オープンリゾルバーでなくてもDNSサーバーを安全にセットアップすることは問題ではなく、誤ってDNSサービスがインストールされたサーバーまたはマシンがある場合、DDOS対策が行われます、メインDNSサーバーへのDNS転送要求を実行すると、攻撃者はDNSサーバーに実装されているトラフィック制限やセキュリティ制限を回避できます。

また、リクエストは内部インフラストラクチャから送信されたように見え、DNS内部名、および内部組織/ネットワーク/ IPアドレッシングの不要な詳細が公開される可能性があります。

また、ネットワークセキュリティルールに従って、外部に公開するサービスやサービスの数が少ないほど、それらが危険にさらされたり、内部からインフラストラクチャへの攻撃を利用するためのエントリポイントとして使用されたりする可能性が低くなります。

3
Rui F Ribeiro

通常、UDPトラフィックに関しては、次の理由から制限をかけたいと考えます。

a)TCPと比較して、パケットフィルターは、着信パケットがネットワーク内部からの要求に対する応答であるか、または一方的な要求であるかを確実に判断することが困難です。したがって、パケットフィルタリングファイアウォールを介してクライアント/サーバーの役割を強制することは困難になります。

b)サーバーまたはクライアントコンピューターのUDPポートにバインドするプロセスは、それ自体がリクエストを作成したいためにそのポートにのみバインドされている場合でも、非送信請求パケットにさらされ、システムのセキュリティが存在しないことに依存します。それを悪用または混乱させるプロセスの欠陥。 NTPクライアントには過去にこのような問題がありました。TCPクライアントの場合、そのクライアントに送信された一方的なデータはほとんどの場合、破棄されますオペレーティングシステムによって。

c)NATを実行している場合、a)と同様の理由により、大量のUDPトラフィックによりNATing機器に大量のワークロードが発生する可能性があります。

2
rackandboneman

DNSプロトコルとポートを使用してVPNトンネルを作成するツールが存在します。

ヨウ素 はその1つです。このソフトウェアを実行しているサーバーを介してトラフィックを完全にトンネリングすることにより、ファイアウォールをバイパスできます。説明では、DNSプロトコルを使用しています。

これと同様のツールがこの制限の理由である可能性があります。

0
Gerhard