大学が宛先ポート53で着信UDPトラフィックをブロックするのはなぜですか？

たとえば、攻撃者は大学のDNSサーバーを DNS Amplification DDoS Attack の中継ホストとして使用する可能性があります。

アンドリューBの答えは素晴らしい。彼が言った事。

「ポート番号53への着信UDPパケットがブロックされなかった場合、どのような望ましくないことが起こる可能性がありますか？」という質問に答えるために。より具体的には、「DNSベースの攻撃」をググって この便利な記事 を取得しました。言い換えると：

1. 分散リフレクションDoS攻撃
2. キャッシュポイズニング
3. TCP SYNフラッド
4. DNSトンネリング
5. DNSハイジャック
6. 基本的なNXDOMAIN攻撃
7. ファントムドメイン攻撃
8. ランダムサブドメイン攻撃
9. ドメインロックアップ攻撃
10. CPEデバイスからのボットネットベースの攻撃

これは、可能なDNSベースの攻撃の決定的なリストではなく、記事で言及するのに十分注目すべきであると判断した10のリストです。

本当に、短い答えは「あなたがそれを公開することを持っていないなら、しないでください」です。

彼らはそれをブロックしている、なぜならそれは可能であり、それは賢明なセキュリティポリシーだからである。

問題は多くの場合、潜在的なオープンリゾルバーよりも深刻です-一日の終わりに、オープンリゾルバーでなくてもDNSサーバーを安全にセットアップすることは問題ではなく、誤ってDNSサービスがインストールされたサーバーまたはマシンがある場合、DDOS対策が行われます、メインDNSサーバーへのDNS転送要求を実行すると、攻撃者はDNSサーバーに実装されているトラフィック制限やセキュリティ制限を回避できます。

また、リクエストは内部インフラストラクチャから送信されたように見え、DNS内部名、および内部組織/ネットワーク/ IPアドレッシングの不要な詳細が公開される可能性があります。

また、ネットワークセキュリティルールに従って、外部に公開するサービスやサービスの数が少ないほど、それらが危険にさらされたり、内部からインフラストラクチャへの攻撃を利用するためのエントリポイントとして使用されたりする可能性が低くなります。

通常、UDPトラフィックに関しては、次の理由から制限をかけたいと考えます。

a）TCPと比較して、パケットフィルターは、着信パケットがネットワーク内部からの要求に対する応答であるか、または一方的な要求であるかを確実に判断することが困難です。したがって、パケットフィルタリングファイアウォールを介してクライアント/サーバーの役割を強制することは困難になります。

b）サーバーまたはクライアントコンピューターのUDPポートにバインドするプロセスは、それ自体がリクエストを作成したいためにそのポートにのみバインドされている場合でも、非送信請求パケットにさらされ、システムのセキュリティが存在しないことに依存します。それを悪用または混乱させるプロセスの欠陥。 NTPクライアントには過去にこのような問題がありました。TCPクライアントの場合、そのクライアントに送信された一方的なデータはほとんどの場合、破棄されますオペレーティングシステムによって。

c）NATを実行している場合、a）と同様の理由により、大量のUDPトラフィックによりNATing機器に大量のワークロードが発生する可能性があります。

DNSプロトコルとポートを使用してVPNトンネルを作成するツールが存在します。

ヨウ素 はその1つです。このソフトウェアを実行しているサーバーを介してトラフィックを完全にトンネリングすることにより、ファイアウォールをバイパスできます。説明では、DNSプロトコルを使用しています。

これと同様のツールがこの制限の理由である可能性があります。