Tôi đã dành một chút thời gian để nghiên cứu chủ đề này và dường như không thể tìm thấy câu trả lời chính xác, vì vậy tôi khá tự tin rằng nó không phải là một bản sao và trong khi câu hỏi của tôi dựa trên nhu cầu bảo mật, tôi nghĩ nó vẫn an toàn để hỏi ở đây nhưng cho tôi biết nếu tôi cần di chuyển nó vào cộng đồng bảo mật.
Về cơ bản, các truy vấn DNS có bao giờ sử dụng TCP không (nếu vậy, kịch bản này có thể xảy ra)? Một lần nữa, tôi chỉ nói về các truy vấn. Có thể cho họ đi qua TCP? Nếu các tên miền chỉ có thể có độ dài tối đa là 253 byte và các gói UDP có thể lớn tới 512 byte, thì các truy vấn sẽ không đi ra ngoài như UDP? Tôi không nghĩ rằng một truy vấn có thể giải quyết có thể đủ lớn để yêu cầu sử dụng TCP. Nếu một máy chủ DNS từng có một yêu cầu cho một tên miền lớn hơn 253 byte, thì máy chủ đó có bỏ nó / không thử và giải quyết nó không? Tôi chắc chắn tôi đã đưa ra một số giả định sai ở đây.
Đối với một số bối cảnh, tôi đang làm việc với nhóm bảo mật để đưa các truy vấn DNS vào công cụ giám sát bảo mật của họ và vì nhiều lý do khác nhau, chúng tôi đã quyết định chúng tôi sẽ nắm bắt lưu lượng này thông qua việc bắt gói tin tiêu chuẩn trên máy chủ DNS và bộ điều khiển miền. Yêu cầu cốt lõi là nắm bắt tất cả các truy vấn DNS để họ có thể xác định ứng dụng khách nào đã cố gắng giải quyết bất kỳ miền nào. Dựa trên yêu cầu này, chúng tôi không quan tâm đến việc nắm bắt phản hồi DNS hoặc lưu lượng truy cập khác như chuyển vùng, điều này cũng được thúc đẩy bởi thực tế là chúng tôi cần hạn chế khối lượng nhật ký càng nhiều càng tốt. Do đó, chúng tôi dự định chỉ thu thập các truy vấn DNS dành cho máy chủ DNS và được gửi qua UDP. Để biết thêm ngữ cảnh (loại phạm vi câu hỏi leo ở đây), giờ đây chúng ta có thể cần phải mở rộng bảo mật ' Khả năng hiển thị để họ có thể theo dõi hoạt động như các kênh bí mật chạy trên DNS (điều này cũng sẽ cần phải nắm bắt các phản hồi DNS và sau đó là lưu lượng TCP). Nhưng ngay cả trong loại kịch bản đó, tôi đã nghĩ rằng bất kỳ lưu lượng DNS bên ngoài nào sẽ ở dạng tra cứu / truy vấn và chúng sẽ luôn vượt qua UDP, ngay cả khi từ một nguồn độc hại (vì lý do của tôi trong đoạn đầu tiên). Vì vậy, điều này đưa ra một số câu hỏi bổ sung:
Tối thiểu chúng ta có thể nắm bắt được một nửa cuộc trò chuyện với cách tiếp cận tôi đã vạch ra không? Hoặc khách hàng có bao giờ gửi lưu lượng DNS không ở dạng truy vấn không? (có thể giống như một số loại trả lời cho phản hồi của máy chủ DNS và có thể kết thúc bằng TCP)
Các truy vấn DNS có thể được sửa đổi để sử dụng TCP không? Máy chủ DNS có chấp nhận và trả lời truy vấn DNS qua TCP không?
Không chắc nó có liên quan hay không, nhưng chúng tôi giới hạn các yêu cầu DNS đối với các máy chủ DNS được ủy quyền và chặn tất cả lưu lượng truy cập khác ra ngoài cổng 53. Tôi chắc chắn là một tân binh, vì vậy tôi xin lỗi nếu câu hỏi của tôi không tuân thủ và cho tôi biết Làm thế nào tôi nên sửa đổi.