为什么大学会阻止目标端口53的UDPstream量?

根据我的理解,DNS使用UDP和端口53.如果到端口号53的传入UDP数据包未被阻止,会发生什么不良事件?

更新:数据包发起或注定到大学运营的本地DNS服务器或大学运营的权威DNS服务器将被允许。

逻辑工作是这样的:

  1. 只有向互联网提供logging的权威DNS服务器才需要公开。
  2. 开放的networking暴露的recursion服务器将不可避免地被networking扫描和滥用。 (请参阅user1700494的答案)
  3. 有人偶然站起来的一个暴露的recursion服务器的可能性大于暴露的权威DNS服务器的可能性。 这是因为许多设备和“开箱即用”configuration默认允许不受限制的recursion。 权威的configuration更加自定义,并且经常遇到。
  4. 在给定1-3的情况下,丢弃目的端口为53的所有未经请求的入站stream量将保护networking。 在极less数情况下,需要将另一个权威DNS服务器添加到networking中(计划事件),可以根据需要定义exception。

例如,攻击者可以使用大学的DNS服务器作为DNS放大DDoS攻击的中转主机

安德鲁B的回答非常好。 他说什么。

要回答这个问题:“如果inputUDP数据包到端口号53没有被阻塞,会发生什么不良的事情? 更具体地说,我search了“基于DNS的攻击”,并得到了这个方便的文章 。 解释:

  1. 分布式reflectionDoS攻击
  2. caching中毒
  3. TCP SYN泛滥
  4. DNS隧道
  5. DNS劫持
  6. 基本的NXDOMAIN攻击
  7. 幽灵域攻击
  8. 随机子域攻击
  9. 域名locking攻击
  10. 来自CPE设备的基于僵尸networking的攻击

这不是一个可能的基于DNS的攻击的确凿列表,只有十篇文章值得一提。

真的,简短的答案是“如果你不必暴露它,不要。”

他们阻止了,因为他们可以,这是一个明智的安全政策。

这个问题往往比拥有潜在的开放式parsing器更严重 – 那么在一天结束的时候,安全地设置DNS服务器,而不是开放的parsing器,在任何安装了DNS服务器的服务器或机器时, ,并且向主DNS服务器做DNS转发请求将允许任何攻击者绕过您在DNS服务器上实施的stream量限制和安全限制。

这些请求也将显示来自内部基础结构,并可能暴露DNS内部名称以及内部组织/networking/ IP寻址的不需要的详细信息。

另外,根据networking安全规则,您公开的服务和服务数量越less,这些服务和服务的可能性越小,并被用作入口点,从内部利用对基础架构的攻击。

通常,当谈到UDPstream量时,你想要限制,因为:

a)与TCP相比,数据包filter难以可靠地确定传入数据包是否是来自networking内部请求的答案…或者是主动请求。 通过包过滤防火墙强制执行客户机/服务器angular色变得更加困难。

b)绑定到服务器或客户端计算机上的UDP端口的任何进程,即使它只绑定到该端口,因为它本身也想发出请求,也会暴露给未经请求的数据包,从而使得系统安全性依赖于没有在这个过程中的缺陷,可以允许利用或混淆它。 过去曾出现过NTP客户端等问题。 使用TCP客户端,在大多数情况下,发送给该客户端的未经请求的数据将被操作系统丢弃。

c)如果你正在运行NAT,UDPstream量大会给NAT设备带来很多工作量,这是因为a)

存在使用DNS协议和端口创buildVPN隧道的工具。

碘是其中之一。 它允许通过运行该软件的服务器将stream量完全隧道,从而绕过防火墙。 如说明所述,它使用DNS协议。

这个和类似的工具可能是这个限制的原因。