เหตุใดมหาวิทยาลัยจึงปิดกั้นการรับส่งข้อมูล UDP ขาเข้าด้วยพอร์ตปลายทาง 53


20

จากความเข้าใจของฉัน DNS ใช้ UDP และพอร์ต 53 สิ่งที่ไม่พึงประสงค์อาจเกิดขึ้นได้หากแพ็กเก็ต UDP ขาเข้าไปยังหมายเลขพอร์ต 53 ไม่ถูกบล็อก

อัปเดต: อนุญาตให้ส่งแพ็กเก็ตหรือไปยังเซิร์ฟเวอร์ DNS ภายในเครื่องที่ดำเนินการโดยมหาวิทยาลัยหรือเซิร์ฟเวอร์ DNS ที่ดำเนินการโดยมหาวิทยาลัยจะได้รับอนุญาต


19
Why would a university block incoming UDP traffic with destination port 53?- ทำไมถึงไม่ทำล่ะ หรือหาวิธีอื่น: เพราะเหตุใดพวกเขาจึงอนุญาตให้มีการรับส่งข้อมูล UDP (หรือ TCP) ที่มีพอร์ตปลายทาง 53 เพื่อส่งผ่านเครือข่าย / ไฟร์วอลล์ขาเข้ายกเว้นไปยังเซิร์ฟเวอร์ชื่อที่เชื่อถือได้สำหรับชื่อโดเมนสาธารณะถ้าเซิร์ฟเวอร์ชื่อเหล่านั้น โฮสต์บนเครือข่ายมหาวิทยาลัยภายในหรือไม่
joeqwerty

2
การรับส่งข้อมูล UDP ขาเข้าทั้งหมดสำหรับพอร์ต 53 ถูกบล็อคยกเว้นเซิร์ฟเวอร์ DNS ของมหาวิทยาลัยเองหรือ ฟังดูน่าสงสัยว่าเป็นความพยายามในการใช้ DNS สำหรับการเซ็นเซอร์ให้ฉัน แม้ว่าจะเป็นระบบที่ใช้งานไม่ได้กับทุกระบบที่ฉันคิดเพราะลูกค้าจะลองใช้ TCP เมื่อคำขอ UDP ไม่กลับมา นอกจากว่าคุณลืมที่จะพูดถึงว่าพวกเขายังลดทราฟฟิก TCP สำหรับพอร์ต 53
Blacklight Shining

5
ตามหลักปฏิบัติทั่วไปผู้ดูแลระบบไม่เคยถามตัวเองว่า "มีเหตุผลที่ดีที่ฉันควรบล็อกพอร์ตนี้" โดยปกติแล้วพวกเขามีพอร์ตทั้งหมดที่ถูกบล็อกโดยค่าเริ่มต้นในไฟร์วอลล์ของพวกเขาและพวกเขาถามตัวเองว่า "มีเหตุผลที่ดีมากว่าทำไมฉันควรเปิดพอร์ตนี้"
Federico Poloni

DNS ไม่ได้ใช้ UDP เท่านั้นมันใช้ TCP เช่นกัน หากคุณอนุญาตการรับส่งข้อมูล UDP คุณควรอนุญาตให้ใช้ TCP ด้วยหรือมิฉะนั้นสิ่งต่าง ๆ จะหยุดทำงาน (และในทางกลับกันหากคุณลดลง UDP ให้วาง TCP ด้วย)
Edeldil

2
@FedericoPoloni อย่าแกล้งทำเป็นว่าคุณกำลังให้ "การเข้าถึงอินเทอร์เน็ต" ถ้าคุณทำเช่นนี้เพราะคุณไม่ได้
David Schwartz

คำตอบ:


40

ตรรกะทำงานเช่นนี้

  1. เฉพาะเซิร์ฟเวอร์ DNS ที่มีสิทธิ์ที่ให้ระเบียนไปยังอินเทอร์เน็ตจะจำเป็นที่จะสัมผัส
  2. เซิร์ฟเวอร์แบบเปิดซ้ำที่เปิดรับอินเทอร์เน็ตจะพบอย่างหลีกเลี่ยงไม่ได้โดยการสแกนเครือข่ายและใช้งานในทางที่ผิด (ดูคำตอบของผู้ใช้ 1700494)
  3. โอกาสที่จะมีใครคนหนึ่งกำลังยืนขึ้นเซิร์ฟเวอร์แบบสัมผัสซ้ำโดยบังเอิญนั้นมีขนาดใหญ่กว่าเซิร์ฟเวอร์ DNS แบบเปิดเผยที่เชื่อถือได้ นี่เป็นเพราะอุปกรณ์จำนวนมากและ "ออกจากกล่อง" กำหนดค่าเริ่มต้นให้อนุญาตการเรียกซ้ำแบบไม่ จำกัด การกำหนดค่าที่เชื่อถือได้นั้นมีการปรับแต่งและพบบ่อยมากขึ้น
  4. ได้รับ 1-3 ลดการรับส่งข้อมูลขาเข้าที่ไม่ได้ร้องขอทั้งหมดด้วยพอร์ตปลายทางที่ 53 ป้องกันเครือข่าย ในเหตุการณ์ที่เกิดขึ้นได้ยากซึ่งจะต้องเพิ่มเซิร์ฟเวอร์ DNS ที่มีสิทธิ์อื่นเข้าไปในเครือข่าย (เหตุการณ์ที่วางแผนไว้) คุณสามารถกำหนดข้อยกเว้นได้ตามความต้องการ

24

ตัวอย่างเช่นผู้โจมตีสามารถใช้เซิร์ฟเวอร์ DNS ของมหาวิทยาลัยเป็นโฮสต์สำหรับการส่งผ่านสำหรับการขยาย DNS DDoS Attack


ในลิงก์ที่คุณโพสต์ภายใต้การขยาย dns จะกล่าวถึงวิธีที่คุณสามารถใช้แบบสอบถามแบบขุดเพื่อรับการตอบกลับที่สูงกว่าแบบสอบถามได้ 50x แต่ถ้าปริมาณการใช้งาน UDP ขาเข้าบนพอร์ต 53 ถูกปิดกั้นทำไมฉันยังสามารถสร้างข้อความค้นหาไปยังที่อยู่มหาวิทยาลัยได้
Daniel Kobe

1
@DanielKobe โซน DNS เป็นเจ้าของระเบียนโฮสต์ในคำถามจะไม่ผูกพันกับเพียงอยู่บนเซิร์ฟเวอร์ DNS ที่คุณจะไม่สามารถส่ง UDP / 53 แพ็กเก็ต นอกจากนี้ยังอาจบ่งบอกถึงการตั้งค่า DNS แบบแยกส่วน
Mathias R. Jessen

11

คำตอบของ Andrew B นั้นยอดเยี่ยม เขาพูดอะไร.

เพื่อตอบคำถาม "สิ่งที่ไม่พึงประสงค์อาจเกิดขึ้นได้หากแพ็กเก็ต UDP ขาเข้าไปยังหมายเลขพอร์ต 53 ไม่ได้ถูกบล็อก" โดยเฉพาะอย่างยิ่งผม googled "โจมตี DNS-based" และได้รับบทความที่มีประโยชน์นี้ ในการถอดความ:

  1. การโจมตีแบบสะท้อนแสงแบบกระจาย
  2. พิษของแคช
  3. TCP SYN ท่วม
  4. การทันเนล DNS
  5. DNS hijacking
  6. การโจมตี NXDOMAIN ขั้นพื้นฐาน
  7. Phantom Domain โจมตี
  8. การโจมตีโดเมนย่อยแบบสุ่ม
  9. การโจมตีล็อคโดเมน
  10. Botnet-based การโจมตีจากอุปกรณ์ CPE

นี่ไม่ใช่รายการสรุปของการโจมตีบน DNS ที่เป็นไปได้เพียงสิบข้อที่บทความพบว่าน่าพอที่จะกล่าวถึง

จริงๆแล้วคำตอบสั้น ๆ คือ "ถ้าคุณไม่ต้องเปิดเผยก็อย่าทำเช่นนั้น"


3
"If you don't have to expose it, don't."ซึ่งเป็นเรื่องจริงสำหรับหลายสิ่งในชีวิต
user9517 รองรับ GoFundMonica

3

พวกเขากำลังปิดกั้นเพราะพวกเขาสามารถและเป็นนโยบายความปลอดภัยที่เหมาะสม

ปัญหามักจะรุนแรงกว่าการใช้ตัวแก้ไขแบบเปิดที่อาจเกิดขึ้นในตอนท้ายของวันมันไม่สำคัญว่าจะตั้งค่าเซิร์ฟเวอร์ DNS อย่างปลอดภัยโดยไม่ต้องใช้ตัวแก้ไขแบบเปิดพร้อมมาตรการป้องกัน DDOS เมื่อเซิร์ฟเวอร์หรือเครื่องใด ๆ และการดำเนินการร้องขอการส่งต่อ DNS ไปยังเซิร์ฟเวอร์ DNS หลักจะทำให้ผู้โจมตีสามารถเลี่ยงการ จำกัด การรับส่งข้อมูลและข้อ จำกัด ด้านความปลอดภัยที่ใช้งานบนเซิร์ฟเวอร์ DNS ของคุณ

คำขอจะปรากฏมาจากโครงสร้างพื้นฐานภายในและอาจเปิดเผยชื่อ DNS ภายในและรายละเอียดที่ไม่พึงประสงค์ขององค์กรภายใน / เครือข่าย / ที่อยู่ IP

นอกจากนี้ตามกฎความปลอดภัยเครือข่ายจำนวนบริการและบริการที่น้อยลงที่คุณเปิดเผยสู่ภายนอกความน่าจะเป็นที่น้อยลงของพวกเขาจะถูกบุกรุกและถูกใช้เป็นจุดเริ่มต้นเพื่อใช้ประโยชน์จากการโจมตีโครงสร้างภายในของคุณจากภายใน


2

โดยปกติเมื่อพูดถึงการรับส่งข้อมูล UDP คุณต้องการ จำกัด เนื่องจาก:

ก) เมื่อเปรียบเทียบกับ TCP จะยากกว่าสำหรับตัวกรองแพ็คเก็ตที่จะตรวจสอบได้อย่างน่าเชื่อถือว่าแพ็กเก็ตขาเข้าเป็นคำตอบของคำขอจากภายในเครือข่าย ... หรือคำขอที่ไม่ได้ร้องขอ การบังคับใช้บทบาทไคลเอนต์ / เซิร์ฟเวอร์ผ่านไฟร์วอลล์การกรองแพ็คเก็ตจึงยากขึ้น

b) กระบวนการใด ๆ ที่ผูกเข้ากับพอร์ต UDP บนเซิร์ฟเวอร์หรือคอมพิวเตอร์ไคลเอนต์แม้ว่ามันจะผูกเข้ากับพอร์ตนั้นเพียงเพราะมันต้องการที่จะทำการร้องขอเองก็จะถูกเปิดเผยไปยังแพ็คเก็ตที่ไม่พึงประสงค์ด้วยเช่นกัน ข้อบกพร่องในกระบวนการที่จะทำให้เกิดการใช้ประโยชน์หรือทำให้เกิดความสับสน มีปัญหาดังกล่าวกับไคลเอนต์ NTP เช่นในอดีต ด้วยไคลเอนต์ TCP ข้อมูลที่ไม่พึงประสงค์ที่ส่งไปยังไคลเอนต์นั้นส่วนใหญ่จะถูกทิ้งโดยระบบปฏิบัติการ

c) หากคุณใช้งาน NAT การรับส่งข้อมูลแบบ UDP จำนวนมากสามารถสร้างปริมาณงานจำนวนมากสำหรับอุปกรณ์ NATing เนื่องจากเหตุผลที่คล้ายกันในก)


0

มีเครื่องมือที่สร้างอุโมงค์ VPN โดยใช้โปรโตคอล DNS และพอร์ต

ไอโอดีนเป็นหนึ่งในนั้น อนุญาตให้ข้ามไฟร์วอลล์ด้วยการเจาะช่องทางการรับส่งข้อมูลอย่างสมบูรณ์ผ่านเซิร์ฟเวอร์ที่ใช้ซอฟต์แวร์นี้ ในฐานะที่เป็นรัฐคำอธิบายจะใช้โปรโตคอล DNS

เครื่องมือนี้และเครื่องมือที่คล้ายกันอาจเป็นสาเหตุของข้อ จำกัด นี้


2
คุณสามารถอุโมงค์ IP ผ่านสวยมากของโปรโตคอลประยุกต์ใช้ร่วมกันไม่ต้องพูดถึง TLS เพื่อที่ว่าแทบจะไม่เป็นเหตุผลที่ดีสำหรับการวางการจราจร นอกจากนี้คุณอาจคิดว่ารูปแบบ IP-over-DNS จะผูกไว้กับฝั่งไคลเอ็นต์พอร์ตชั่วคราว (เช่นไคลเอนต์ DNS ทั่วไปทำ) แทนที่จะพอร์ต 53
Blacklight Shining
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.