大学が宛先ポート53で着信UDPトラフィックをブロックするのはなぜですか?

20

私の理解から、DNSはUDPとポート53を使用します。ポート番号53への着信UDPパケットがブロックされなかった場合、どのような望ましくないことが起こる可能性がありますか?

更新:パケットは、大学が運営するローカルDNSサーバーまたは大学が運営する権限のあるDNSサーバーを発信元または宛先とします。

domain-name-system  security  udp 
ダニエル神戸
ソース
19
Why would a university block incoming UDP traffic with destination port 53?-なぜ彼らはそうしなかったのですか?または、別の言い方をすると、宛先ポートが53の着信UDP(またはTCP)トラフィックが、パブリックドメイン名の信頼できるネームサーバーに到達する場合を除き、ネットワーク/ファイアウォールインバウンドを通過できるようにする理由大学内ネットワークでホストされていますか?
-joeqwerty
2
ポート53のすべてのインバウンドUDPトラフィックは、大学自身のDNSサーバーを除いてブロックされますか?それは私に検閲のためにDNSを使用する試みのように疑わしく聞こえます。ただし、クライアントはUDP要求が返されないときにTCPを試すだけなので、どのシステムでもまったく機能しません。あなたは、彼らはまた、ポート53のTCPトラフィックをドロップすることを言及するのを忘れていない限り
ブラックライトシャイニング
5
一般的な慣行として、システム管理者は「このポートをブロックするのに十分な理由があるのか​​」と自問しません。通常、ファイアウォールではデフォルトですべてのポートがブロックされており、「このポートを開くべき非常に良い理由があるのか」と自問しています。
フェデリコポロニ
DNSはUDPだけを使用するのではなく、TCPも使用します。UDPトラフィックを許可する場合は、TCPも許可する必要があります。許可しないと、問題が発生します(UDPをドロップする場合はTCPもドロップします)。
エデルディル
2
@FedericoPoloniあなたが「インターネットアクセス」を提供しているふりをしないでください。
デビッドシュワルツ

回答:

40

ロジックは次のように機能します。

  1. インターネットにレコードを提供する権限のあるDNSサーバーのみを公開する必要があります。
  2. インターネットにさらされているオープンな再帰サーバーは、必然的にネットワークスキャンによって検出され、悪用されます。(user1700494の回答を参照)
  3. 誰かが誤って公開された再帰サーバーを立ち上げる可能性は、公開された権威あるDNSサーバーよりも大きくなります。これは、多くのアプライアンスと「すぐに使える」構成がデフォルトで無制限の再帰を許可するためです。信頼できる構成ははるかにカスタマイズされており、まれにしか発生しません。
  4. 1〜3の場合、宛先ポートが53の未承諾の着信トラフィックをすべてドロップすると、ネットワークが保護されます。まれに、別の権限のあるDNSサーバーをネットワークに追加する必要がある場合(計画的なイベント)、必要に応じて例外を定義できます。
アンドリューB
ソース
24

たとえば、攻撃者は大学のDNSサーバーをDNS増幅DDoS攻撃の中継ホストとして使用する可能性があります

user1700494
ソース
投稿したリンクのdns増幅では、digクエリを使用してクエリよりも50倍以上の応答を受信する方法について言及しています。しかし、ポート53での着信UDPトラフィックがブロックされた場合、どうすれば大学のアドレスに対して発掘クエリを実行できますか。
ダニエル神戸
1
@DanielKobe問題のホストレコードを所有しているDNSゾーンは、現在UDP / 53パケットを送信できないDNSサーバー上にのみ存在することに限定されません。また、スプリットホライズンDNSのセットアップを示している可能性もあります。
マティアスR.ジェッセン
11

アンドリューBの答えは素晴らしいです。彼が言った事。

「ポート番号53への着信UDPパケットがブロックされなかった場合、どのような望ましくないことが起こる可能性がありますか?」という質問に答えるために より具体的には、「DNSベースの攻撃」をグーグルで検索し、この便利な記事を入手しました。言い換えると:

  1. 分散リフレクションDoS攻撃
  2. キャッシュポイズニング
  3. TCP SYNフラッド
  4. DNSトンネリング
  5. DNSハイジャック
  6. 基本的なNXDOMAIN攻撃
  7. ファントムドメイン攻撃
  8. ランダムサブドメイン攻撃
  9. ドメインロックアップ攻撃
  10. CPEデバイスからのボットネットベースの攻撃

これは、可能性のあるDNSベースの攻撃の決定的なリストではなく、記事で言及するのに十分注目に値するものであると10件だけです。

「あなたがいない場合は、実際に、短い答えは持っている、それを公開するために、ありません。」

キャサリン・ビリヤード
ソース
3
"If you don't have to expose it, don't."これは人生の多くの事柄に当てはまります。
user9517は
3

彼らはそれをブロックしています。なぜならそれは賢明なセキュリティポリシーだからです。

多くの場合、問題は潜在的なオープンリゾルバよりも深刻です-その日の終わりには、DNSサービスを誤ってインストールした場合のアンチDDOS対策により、オープンリゾルバでなくても、DNSサーバーを安全にセットアップすることは重要ではありませんメインDNSサーバーへのDNS転送要求を行うと、攻撃者はDNSサーバーに実装されたトラフィック制限とセキュリティ制限をバイパスできます。

また、リクエストは内部インフラストラクチャから送信されたように見え、DNS内部名、および内部組織/ネットワーク/ IPアドレスの望ましくない詳細を公開する場合があります。

また、ネットワークセキュリティルールに従って、外部に公開するサービスとサービスの数が少ないほど、それらが侵害され、内部からのインフラストラクチャへの攻撃を活用するためのエントリポイントとして使用される可能性が低くなります。

ルイ・F・リベイロ
ソース
2

通常、UDPトラフィックに関しては、次の理由により制限が必要です。

a)TCPと比較して、パケットフィルターは、着信パケットがネットワーク内からの要求に対する応答であるか、または未承諾の要求であるかを確実に判断するのが困難です。したがって、パケットフィルタリングファイアウォールを介してクライアント/サーバーの役割を強制することは難しくなります。

b)サーバーまたはクライアントコンピューターのUDPポートにバインドするプロセスは、要求自体を行うためにそのポートにのみバインドする場合でも、要求されていないパケットにもさらされ、システムセキュリティが悪用または混乱させるプロセスの欠陥。過去にNTPクライアントなどでこのような問題が発生しました。TCPクライアントでは、ほとんどの場合、そのクライアントに送信された未承諾データはオペレーティングシステムによって破棄されます。

c)NATを実行している場合、a)と同様の理由により、UDPトラフィックが多いとNAT機器に多くのワークロードが発生する可能性があります

Rackandboneman
ソース
0

DNSプロトコルとポートを使用してVPNトンネルを作成するツールがあります。

ヨウ素もその一つです。このソフトウェアを実行しているサーバーを介してトラフィックを完全にトンネリングすることにより、ファイアウォールをバイパスできます。説明が示すように、DNSプロトコルを使用します。

これと同様のツールがこの制限の理由かもしれません。

ゲルハルト
ソース
2
TLSは言うまでもなく、ほとんどすべての一般的なアプリケーションプロトコルでIPをトンネリングできます。そのため、トラフィックをドロップするのに十分な理由はほとんどありません。また、あなたはむしろポート53より、(通常のDNSクライアントが行うように)IP-オーバーDNS方式は一時ポート、クライアント側に特異的に結合すると思うだろう
ブラックライトシャイニング
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.