根据我的理解,DNS使用UDP和端口53.如果到端口号53的传入UDP数据包未被阻止,会发生什么不良事件?
更新:数据包发起或注定到大学运营的本地DNS服务器或大学运营的权威DNS服务器将被允许。
逻辑工作是这样的:
例如,攻击者可以使用大学的DNS服务器作为DNS放大DDoS攻击的中转主机
安德鲁B的回答非常好。 他说什么。
要回答这个问题:“如果inputUDP数据包到端口号53没有被阻塞,会发生什么不良的事情? 更具体地说,我search了“基于DNS的攻击”,并得到了这个方便的文章 。 解释:
这不是一个可能的基于DNS的攻击的确凿列表,只有十篇文章值得一提。
真的,简短的答案是“如果你不必暴露它,不要。”
他们阻止了,因为他们可以,这是一个明智的安全政策。
这个问题往往比拥有潜在的开放式parsing器更严重 – 那么在一天结束的时候,安全地设置DNS服务器,而不是开放的parsing器,在任何安装了DNS服务器的服务器或机器时, ,并且向主DNS服务器做DNS转发请求将允许任何攻击者绕过您在DNS服务器上实施的stream量限制和安全限制。
这些请求也将显示来自内部基础结构,并可能暴露DNS内部名称以及内部组织/networking/ IP寻址的不需要的详细信息。
另外,根据networking安全规则,您公开的服务和服务数量越less,这些服务和服务的可能性越小,并被用作入口点,从内部利用对基础架构的攻击。
通常,当谈到UDPstream量时,你想要限制,因为:
a)与TCP相比,数据包filter难以可靠地确定传入数据包是否是来自networking内部请求的答案…或者是主动请求。 通过包过滤防火墙强制执行客户机/服务器angular色变得更加困难。
b)绑定到服务器或客户端计算机上的UDP端口的任何进程,即使它只绑定到该端口,因为它本身也想发出请求,也会暴露给未经请求的数据包,从而使得系统安全性依赖于没有在这个过程中的缺陷,可以允许利用或混淆它。 过去曾出现过NTP客户端等问题。 使用TCP客户端,在大多数情况下,发送给该客户端的未经请求的数据将被操作系统丢弃。
c)如果你正在运行NAT,UDPstream量大会给NAT设备带来很多工作量,这是因为a)
存在使用DNS协议和端口创buildVPN隧道的工具。
碘是其中之一。 它允许通过运行该软件的服务器将stream量完全隧道,从而绕过防火墙。 如说明所述,它使用DNS协议。
这个和类似的工具可能是这个限制的原因。