我运行一个服务器,其中包括DNS和axfrdns用于处理来自我们的辅助DNS(另一个系统)的传输请求。 我知道tinydns使用UDP上的端口53,而axfrdns使用TCP上的端口53。
我已经configurationaxfrdns只允许来自我同意的辅助主机的连接。 我运行logcheck来监视我的日志,每天我都会看到端口53(TCP)上看似随机的虚假连接。 他们通常是来自ADSL连接。
我的问题是 这些无辜的请求或安全风险? 我很高兴使用iptables阻止屡犯者,但不想阻止我主持的网站之一的无辜的用户。
谢谢,达伦。
我假设您使用服务器作为域名的授权DNS服务器。 如果是这样的话,任何需要parsing服务器权限的名字的客户端只需要使用UDP。 TCP将用于区域传输。
而且我还认为,你不希望世界能够做区域转移。 虽然本身区域传输的安全风险通常只允许到辅助/备份dns服务器。 大多数的dns软件也有ACL的控制,允许服务器进行区域传输,所以你也有第二种方法来限制。 但是,因为我看到安全性只允许我需要什么,我build议你阻止端口53的TCP不需要从你做区域传输的主机。
作为一个附带说明,来自TCP端口53上的随机adsl主机的tcp连接具有恶意的意图。 这是因为没有合法的客户端需要从您进行区域转移。 他们可能试图访问与您的networking相关的机密信息,或者将某些DNS软件的漏洞暴露。
虽然这不是什么偏执的东西,你应该知道的。
TCP不仅用于区域传输。
如果您的DNS服务器发回截断的(TC = 1)UDP响应,则TCP是DNS客户端使用的默认回退。 如果您在单个数据包中提供超过512个字节的数据,就会发生这种情况。
如果你运行的是DNS服务器,那么它应该接受来自DNS客户端的TCP连接,这样做不存在固有的安全风险。 针对DNS服务器的DoS攻击风险很小,但任何面向公众的服务都是如此。
请参阅draft-ietf-dnsext-dns-tcp-requirements ,该文件应在下个月内作为RFC发布。
有关更多详细信息,请参阅RFC 5966 。
Ob免责声明 – 我写了RFC。
应该使用您的主机作为DNS服务器的唯一的东西是
阻止“其他”的最简单方法是禁止服务在该地址上进行监听。 如果您的设备在“您的networking”之外,请使用防火墙规则( iptables或其他)来仅接受来自外部networking地址的连接。 如果它们不是固定的,则可能需要一个VPN或其他安全通道才能将外部主机“连入您的networking”。
请记住,针对您的内部名称服务器的任意DNS查询可能会将您的整个networking映射到外部用户,并且可能会显示一个攻击媒介或泄露您希望其他人无法访问的信息。 “随机ADSL连接”可能很容易被僵尸僵尸networking机器用来计划一些令人厌恶的事情。
通过向域名服务器打开TCP,存在很多安全风险 – 任何不声称这一点的人都不是理智的。 只要看看根本的妥协历史 – 大部分是通过使用TCP与UDP的组合。 旧的MUST和SHOULD RFC是由了解安全的人制作的。 如果你的DNS区域没有使用TC = 1位(或者是512字节),那么不要启用TCP,让白痴在将来这样做。