เหตุใดมหาวิทยาลัยจึงปิดกั้นการรับส่งข้อมูล UDP ขาเข้าด้วยพอร์ตปลายทาง 53

จากความเข้าใจของฉัน DNS ใช้ UDP และพอร์ต 53 สิ่งที่ไม่พึงประสงค์อาจเกิดขึ้นได้หากแพ็กเก็ต UDP ขาเข้าไปยังหมายเลขพอร์ต 53 ไม่ถูกบล็อก

อัปเดต: อนุญาตให้ส่งแพ็กเก็ตหรือไปยังเซิร์ฟเวอร์ DNS ภายในเครื่องที่ดำเนินการโดยมหาวิทยาลัยหรือเซิร์ฟเวอร์ DNS ที่ดำเนินการโดยมหาวิทยาลัยจะได้รับอนุญาต

ตรรกะทำงานเช่นนี้

1. เฉพาะเซิร์ฟเวอร์ DNS ที่มีสิทธิ์ที่ให้ระเบียนไปยังอินเทอร์เน็ตจะจำเป็นที่จะสัมผัส
2. เซิร์ฟเวอร์แบบเปิดซ้ำที่เปิดรับอินเทอร์เน็ตจะพบอย่างหลีกเลี่ยงไม่ได้โดยการสแกนเครือข่ายและใช้งานในทางที่ผิด (ดูคำตอบของผู้ใช้ 1700494)
3. โอกาสที่จะมีใครคนหนึ่งกำลังยืนขึ้นเซิร์ฟเวอร์แบบสัมผัสซ้ำโดยบังเอิญนั้นมีขนาดใหญ่กว่าเซิร์ฟเวอร์ DNS แบบเปิดเผยที่เชื่อถือได้ นี่เป็นเพราะอุปกรณ์จำนวนมากและ "ออกจากกล่อง" กำหนดค่าเริ่มต้นให้อนุญาตการเรียกซ้ำแบบไม่ จำกัด การกำหนดค่าที่เชื่อถือได้นั้นมีการปรับแต่งและพบบ่อยมากขึ้น
4. ได้รับ 1-3 ลดการรับส่งข้อมูลขาเข้าที่ไม่ได้ร้องขอทั้งหมดด้วยพอร์ตปลายทางที่ 53 ป้องกันเครือข่าย ในเหตุการณ์ที่เกิดขึ้นได้ยากซึ่งจะต้องเพิ่มเซิร์ฟเวอร์ DNS ที่มีสิทธิ์อื่นเข้าไปในเครือข่าย (เหตุการณ์ที่วางแผนไว้) คุณสามารถกำหนดข้อยกเว้นได้ตามความต้องการ

ตัวอย่างเช่นผู้โจมตีสามารถใช้เซิร์ฟเวอร์ DNS ของมหาวิทยาลัยเป็นโฮสต์สำหรับการส่งผ่านสำหรับการขยาย DNS DDoS Attack

คำตอบของ Andrew B นั้นยอดเยี่ยม เขาพูดอะไร.

เพื่อตอบคำถาม "สิ่งที่ไม่พึงประสงค์อาจเกิดขึ้นได้หากแพ็กเก็ต UDP ขาเข้าไปยังหมายเลขพอร์ต 53 ไม่ได้ถูกบล็อก" โดยเฉพาะอย่างยิ่งผม googled "โจมตี DNS-based" และได้รับบทความที่มีประโยชน์นี้ ในการถอดความ:

1. การโจมตีแบบสะท้อนแสงแบบกระจาย
2. พิษของแคช
3. TCP SYN ท่วม
4. การทันเนล DNS
5. DNS hijacking
6. การโจมตี NXDOMAIN ขั้นพื้นฐาน
7. Phantom Domain โจมตี
8. การโจมตีโดเมนย่อยแบบสุ่ม
9. การโจมตีล็อคโดเมน
10. Botnet-based การโจมตีจากอุปกรณ์ CPE

นี่ไม่ใช่รายการสรุปของการโจมตีบน DNS ที่เป็นไปได้เพียงสิบข้อที่บทความพบว่าน่าพอที่จะกล่าวถึง

จริงๆแล้วคำตอบสั้น ๆ คือ "ถ้าคุณไม่ต้องเปิดเผยก็อย่าทำเช่นนั้น"

พวกเขากำลังปิดกั้นเพราะพวกเขาสามารถและเป็นนโยบายความปลอดภัยที่เหมาะสม

ปัญหามักจะรุนแรงกว่าการใช้ตัวแก้ไขแบบเปิดที่อาจเกิดขึ้นในตอนท้ายของวันมันไม่สำคัญว่าจะตั้งค่าเซิร์ฟเวอร์ DNS อย่างปลอดภัยโดยไม่ต้องใช้ตัวแก้ไขแบบเปิดพร้อมมาตรการป้องกัน DDOS เมื่อเซิร์ฟเวอร์หรือเครื่องใด ๆ และการดำเนินการร้องขอการส่งต่อ DNS ไปยังเซิร์ฟเวอร์ DNS หลักจะทำให้ผู้โจมตีสามารถเลี่ยงการ จำกัด การรับส่งข้อมูลและข้อ จำกัด ด้านความปลอดภัยที่ใช้งานบนเซิร์ฟเวอร์ DNS ของคุณ

คำขอจะปรากฏมาจากโครงสร้างพื้นฐานภายในและอาจเปิดเผยชื่อ DNS ภายในและรายละเอียดที่ไม่พึงประสงค์ขององค์กรภายใน / เครือข่าย / ที่อยู่ IP

นอกจากนี้ตามกฎความปลอดภัยเครือข่ายจำนวนบริการและบริการที่น้อยลงที่คุณเปิดเผยสู่ภายนอกความน่าจะเป็นที่น้อยลงของพวกเขาจะถูกบุกรุกและถูกใช้เป็นจุดเริ่มต้นเพื่อใช้ประโยชน์จากการโจมตีโครงสร้างภายในของคุณจากภายใน

โดยปกติเมื่อพูดถึงการรับส่งข้อมูล UDP คุณต้องการ จำกัด เนื่องจาก:

ก) เมื่อเปรียบเทียบกับ TCP จะยากกว่าสำหรับตัวกรองแพ็คเก็ตที่จะตรวจสอบได้อย่างน่าเชื่อถือว่าแพ็กเก็ตขาเข้าเป็นคำตอบของคำขอจากภายในเครือข่าย ... หรือคำขอที่ไม่ได้ร้องขอ การบังคับใช้บทบาทไคลเอนต์ / เซิร์ฟเวอร์ผ่านไฟร์วอลล์การกรองแพ็คเก็ตจึงยากขึ้น

b) กระบวนการใด ๆ ที่ผูกเข้ากับพอร์ต UDP บนเซิร์ฟเวอร์หรือคอมพิวเตอร์ไคลเอนต์แม้ว่ามันจะผูกเข้ากับพอร์ตนั้นเพียงเพราะมันต้องการที่จะทำการร้องขอเองก็จะถูกเปิดเผยไปยังแพ็คเก็ตที่ไม่พึงประสงค์ด้วยเช่นกัน ข้อบกพร่องในกระบวนการที่จะทำให้เกิดการใช้ประโยชน์หรือทำให้เกิดความสับสน มีปัญหาดังกล่าวกับไคลเอนต์ NTP เช่นในอดีต ด้วยไคลเอนต์ TCP ข้อมูลที่ไม่พึงประสงค์ที่ส่งไปยังไคลเอนต์นั้นส่วนใหญ่จะถูกทิ้งโดยระบบปฏิบัติการ

c) หากคุณใช้งาน NAT การรับส่งข้อมูลแบบ UDP จำนวนมากสามารถสร้างปริมาณงานจำนวนมากสำหรับอุปกรณ์ NATing เนื่องจากเหตุผลที่คล้ายกันในก)

มีเครื่องมือที่สร้างอุโมงค์ VPN โดยใช้โปรโตคอล DNS และพอร์ต

ไอโอดีนเป็นหนึ่งในนั้น อนุญาตให้ข้ามไฟร์วอลล์ด้วยการเจาะช่องทางการรับส่งข้อมูลอย่างสมบูรณ์ผ่านเซิร์ฟเวอร์ที่ใช้ซอฟต์แวร์นี้ ในฐานะที่เป็นรัฐคำอธิบายจะใช้โปรโตคอล DNS

เครื่องมือนี้และเครื่องมือที่คล้ายกันอาจเป็นสาเหตุของข้อ จำกัด นี้