Tại sao một trường đại học sẽ chặn lưu lượng UDP đến với cổng đích 53?


20

Theo hiểu biết của tôi, DNS sử dụng UDP và cổng 53. Điều gì không mong muốn có thể xảy ra nếu các gói UDP đến tới cổng số 53 không bị chặn?

CẬP NHẬT: Các gói có nguồn gốc hoặc được gửi đến máy chủ DNS cục bộ do trường đại học điều hành hoặc máy chủ DNS có thẩm quyền do trường đại học điều hành sẽ được cho phép.


19
Why would a university block incoming UDP traffic with destination port 53?- Tại sao họ không? Hoặc đặt một cách khác: Tại sao họ lại cho phép lưu lượng truy cập UDP (hoặc TCP) đến với cổng đích là 53 để chuyển mạng / tường lửa vào ngoại trừ để đến các máy chủ tên có thẩm quyền cho (các) tên miền công cộng nếu các máy chủ tên đó là lưu trữ trên mạng đại học nội bộ?
joeqwerty

2
Tất cả lưu lượng truy cập UDP trong nước cho cổng 53 bị chặn, ngoại trừ các máy chủ DNS của trường đại học? Nghe có vẻ đáng ngờ giống như một nỗ lực sử dụng DNS để kiểm duyệt đối với tôi. Mặc dù một hệ thống hoàn toàn không hoạt động trên bất kỳ hệ thống nào tôi có thể nghĩ ra, vì các máy khách sẽ chỉ thử TCP khi các yêu cầu UDP không quay trở lại. Trừ khi bạn quên đề cập rằng họ cũng giảm lưu lượng TCP cho cổng 53.
Blacklight Shining

5
Theo thông lệ chung, một quản trị viên hệ thống không bao giờ tự hỏi "có lý do chính đáng tại sao tôi nên chặn cổng này không". Thông thường, họ có tất cả các cổng bị chặn theo mặc định trong tường lửa của họ và họ tự hỏi "có lý do rất chính đáng tại sao tôi nên mở cổng này".
Federico Poloni

DNS không chỉ sử dụng UDP, nó cũng sử dụng TCP. nếu bạn cho phép lưu lượng UDP, bạn cũng nên cho phép TCP hoặc mọi thứ sẽ bị hỏng (và ngược lại, nếu bạn bỏ UDP, hãy bỏ TCP quá).
Edainedil

2
@FedericoPoloni Chỉ cần đừng giả vờ rằng bạn đang cung cấp "truy cập Internet" nếu bạn làm điều này, bởi vì bạn không.
David Schwartz

Câu trả lời:


40

Logic hoạt động như thế này:

  1. Chỉ các máy chủ DNS có thẩm quyền cung cấp hồ sơ cho internet là bắt buộc phải được phơi bày.
  2. Mở các máy chủ đệ quy tiếp xúc với internet chắc chắn sẽ được tìm thấy bởi quét mạng và lạm dụng. (Xem câu trả lời của người dùng1700494)
  3. Khả năng ai đó vô tình đứng lên một máy chủ đệ quy bị lộ là lớn hơn so với máy chủ DNS có thẩm quyền bị lộ. Điều này là do nhiều thiết bị và cấu hình "out of the box" mặc định cho phép đệ quy không giới hạn. Các cấu hình có thẩm quyền được tùy chỉnh nhiều hơn và không thường xuyên gặp phải.
  4. Đưa ra 1-3, loại bỏ tất cả lưu lượng truy cập không mong muốn với cổng đích là 53 bảo vệ mạng. Trong trường hợp hiếm hoi mà một máy chủ DNS có thẩm quyền khác cần được thêm vào mạng (một sự kiện theo kế hoạch), các ngoại lệ có thể được xác định trên cơ sở khi cần thiết.

24

Ví dụ: kẻ tấn công có thể sử dụng máy chủ DNS của trường đại học làm máy chủ chuyển tuyến cho Cuộc tấn công DDoS khuếch đại DNS


Trong liên kết bạn đã đăng, dưới sự khuếch đại dns, nó đề cập đến cách bạn có thể sử dụng truy vấn đào để nhận được phản hồi lớn hơn 50 lần so với truy vấn. Nhưng nếu lưu lượng truy cập UDP đến trên cổng 53 bị chặn thì tại sao tôi vẫn có thể thực hiện truy vấn đào đến địa chỉ trường đại học.
Daniel Kobe

1
@DanielKobe Vùng DNS sở hữu bản ghi máy chủ được đề cập không bị ràng buộc chỉ tồn tại trên máy chủ DNS mà hiện tại bạn không thể gửi các gói UDP / 53 đến. Nó cũng có thể là một dấu hiệu của thiết lập DNS đường chân trời.
Mathias R. Jessen

11

Câu trả lời của Andrew B là tuyệt vời. Những gì ông nói.

Để trả lời câu hỏi "Điều gì không mong muốn có thể xảy ra nếu các gói UDP đến tới cổng số 53 không bị chặn?" cụ thể hơn, tôi đã tìm hiểu "các cuộc tấn công dựa trên DNS" và nhận được bài viết tiện dụng này . Để diễn dải:

  1. Tấn công DoS Reflection phân tán
  2. Ngộ độc bộ nhớ cache
  3. Lũ TCP TCP
  4. Đường hầm DNS
  5. Đánh cắp DNS
  6. Tấn công NXDOMAIN cơ bản
  7. Tấn công tên miền Phantom
  8. Tấn công tên miền phụ ngẫu nhiên
  9. Tấn công khóa tên miền
  10. Các cuộc tấn công dựa trên Botnet từ các thiết bị CPE

Đó không phải là một danh sách kết luận về các cuộc tấn công dựa trên DNS có thể xảy ra, chỉ mười điều mà một bài báo thấy đủ đáng chú ý để đề cập.

Thực sự, câu trả lời ngắn gọn là "Nếu bạn không phải phơi bày nó, thì đừng."


3
"If you don't have to expose it, don't."Điều này đúng với nhiều thứ trong cuộc sống.
user9517 hỗ trợ GoFundMonica

3

Họ đang chặn nó, bởi vì họ có thể và đó là một chính sách bảo mật hợp lý.

Vấn đề thường nghiêm trọng hơn là có các bộ giải quyết mở tiềm năng - vào cuối ngày, việc thiết lập các máy chủ DNS một cách an toàn, không phải là các bộ giải quyết mở, với các biện pháp chống DDOS khi bất kỳ máy chủ hoặc máy nào có dịch vụ DNS được cài đặt do nhầm lẫn và thực hiện các yêu cầu chuyển tiếp DNS đến máy chủ DNS chính sẽ cho phép bất kỳ kẻ tấn công nào bỏ qua giới hạn lưu lượng và hạn chế bảo mật được thực hiện trên các máy chủ DNS của bạn.

Các yêu cầu cũng sẽ xuất hiện từ cấu trúc nội bộ và có thể hiển thị tên nội bộ DNS và các chi tiết không mong muốn của địa chỉ tổ chức / mạng / IP nội bộ.

Ngoài ra, theo các quy tắc bảo mật mạng, số lượng dịch vụ và dịch vụ bạn tiếp xúc ra bên ngoài càng ít, xác suất của chúng bị xâm phạm càng ít và được sử dụng như một điểm vào để thúc đẩy một cuộc tấn công vào cấu trúc bên trong của bạn từ bên trong.


2

Thông thường, khi nói đến lưu lượng UDP, bạn muốn hạn chế vì:

a) So với TCP, bộ lọc gói sẽ khó xác định hơn một cách đáng tin cậy nếu gói đến là câu trả lời cho yêu cầu từ bên trong mạng ... hoặc yêu cầu không được yêu cầu. Việc thực thi vai trò máy khách / máy chủ thông qua tường lửa lọc gói trở nên khó khăn hơn.

b) Bất kỳ quá trình nào liên kết với cổng UDP trên máy chủ hoặc máy khách, ngay cả khi nó chỉ liên kết với cổng đó vì nó muốn thực hiện một yêu cầu, cũng sẽ bị phơi bày với các gói không được yêu cầu, khiến bảo mật hệ thống phụ thuộc vào việc không có khiếm khuyết trong quá trình sẽ cho phép khai thác hoặc gây nhầm lẫn cho nó. Trước đây đã có những vấn đề như vậy với các khách hàng NTP. Với một máy khách TCP, trong hầu hết các trường hợp, dữ liệu không được yêu cầu gửi đến máy khách đó sẽ bị hệ điều hành loại bỏ.

c) Nếu bạn đang chạy NAT, lưu lượng UDP nặng có thể tạo ra khối lượng công việc lớn cho thiết bị NAT vì những lý do tương tự như trong a)


0

Tồn tại các Công cụ tạo đường hầm VPN bằng giao thức DNS và cổng.

Iốt là một trong số đó. Nó cho phép vượt qua tường lửa bằng cách tạo đường hầm hoàn toàn thông qua một máy chủ chạy phần mềm này. Như mô tả trạng thái, nó sử dụng giao thức DNS.

Điều này và các công cụ tương tự có thể là lý do cho giới hạn này.


2
Bạn có thể tạo đường hầm IP trên bất kỳ giao thức ứng dụng phổ biến nào, không kể đến TLS, vì vậy đó hầu như không phải là lý do chính đáng để giảm lưu lượng. Ngoài ra, bạn sẽ nghĩ rằng sơ đồ IP-over-DNS sẽ liên kết với phía máy khách cổng phù du (như các máy khách DNS thông thường làm), thay vì cổng 53.
Blacklight Shining
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.