एक विश्वविद्यालय गंतव्य बंदरगाह 53 के साथ आने वाले यूडीपी यातायात को ब्लॉक क्यों करेगा?

20

मेरी समझ से डीएनएस यूडीपी और पोर्ट 53 का उपयोग करता है। यदि यूडीपी पैकेट को नंबर 53 में पोर्ट नहीं किया गया तो क्या अवांछनीय चीजें हो सकती हैं?

अद्यतन: पैकेट की उत्पत्ति या विश्वविद्यालय संचालित स्थानीय डीएनएस सर्वर या विश्वविद्यालय द्वारा संचालित आधिकारिक डीएनएस सर्वर के लिए नियत की जाती है।

domain-name-system  security  udp 
डैनियल कोबे
स्रोत
19
Why would a university block incoming UDP traffic with destination port 53?- वे क्यों? या दूसरा तरीका: क्यों वे आने वाले यूडीपी (या टीसीपी) ट्रैफिक को 53 के डेस्टिनेशन पोर्ट के साथ नेटवर्क / फ़ायरवॉल इनबाउंड पार करने की अनुमति देंगे, सिवाय इसके कि पब्लिक डोमेन नेम (ओं) के लिए आधिकारिक नाम सर्वरों को मिल जाए, अगर वो नाम सर्वर थे। आंतरिक विश्वविद्यालय नेटवर्क पर होस्ट किया गया?
25
2
पोर्ट 53 के लिए सभी इनबाउंड UDP ट्रैफ़िक अवरुद्ध है, सिवाय विश्वविद्यालय के अपने DNS सर्वरों के लिए? यह मेरे लिए सेंसरशिप के लिए डीएनएस का उपयोग करने के प्रयास की तरह संदिग्ध लगता है। यद्यपि मैं किसी भी सिस्टम पर काम नहीं कर सकता, जो कि यूडीपी के अनुरोधों के वापस आने पर क्लाइंट सिर्फ टीसीपी की कोशिश करेगा। जब तक आप यह उल्लेख करना नहीं भूल जाते कि वे पोर्ट 53 के लिए टीसीपी ट्रैफ़िक भी छोड़ देते हैं।
ब्लैकलाइट शाइनिंग
5
एक सामान्य अभ्यास के रूप में, एक सिस्टम एडमिनिस्ट्रेटर खुद से कभी नहीं पूछता "क्या यह एक अच्छा कारण है कि मुझे इस पोर्ट को ब्लॉक क्यों करना चाहिए"। आमतौर पर, उनके फ़ायरवॉल में डिफ़ॉल्ट रूप से सभी पोर्ट अवरुद्ध होते हैं, और वे खुद से पूछते हैं "क्या यह एक बहुत अच्छा कारण है कि मुझे यह पोर्ट क्यों खोलना चाहिए"।
फेडरिको पोलोनी
DNS केवल UDP का उपयोग नहीं करता है, यह TCP का भी उपयोग करता है। यदि आप UDP ट्रैफ़िक की अनुमति देते हैं, तो आपको TCP को भी अनुमति देनी चाहिए, या चीज़ें टूट जाएँगी (और इसके विपरीत, यदि आप UDP को छोड़ देते हैं, तो TCP को छोड़ दें)।
एडहिलिल
2
@FedericoPoloni सिर्फ यह दिखावा न करें कि यदि आप ऐसा नहीं करते हैं तो आप "इंटरनेट एक्सेस" प्रदान कर रहे हैं।
डेविड श्वार्ट्ज

जवाबों:

40

तर्क इस तरह काम करता है:

  1. केवल आधिकारिक DNS सर्वर जो इंटरनेट को रिकॉर्ड प्रदान करते हैं , उन्हें उजागर करना आवश्यक है।
  2. खुले पुनरावर्ती सर्वर जो इंटरनेट के संपर्क में हैं, अनिवार्य रूप से नेटवर्क स्कैन और दुर्व्यवहार द्वारा पाए जाएंगे। (देखें user1700494 का जवाब)
  3. किसी व्यक्ति की गलती से एक उजागर पुनरावर्ती सर्वर के खड़े होने की संभावना एक उजागर आधिकारिक DNS सर्वर की तुलना में अधिक है। ऐसा इसलिए है क्योंकि कई उपकरण और "आउट ऑफ द बॉक्स" अप्रतिबंधित पुनरावृत्ति की अनुमति देने के लिए डिफ़ॉल्ट रूप से कॉन्फ़िगर करते हैं। आधिकारिक कॉन्फ़िगरेशन बहुत अधिक अनुकूलित और अक्सर सामना किए गए हैं।
  4. 1-3 को देखते हुए, 53 के एक गंतव्य बंदरगाह के साथ सभी अवांछित आवक यातायात को छोड़ने से नेटवर्क की सुरक्षा होती है। दुर्लभ घटना में कि एक और आधिकारिक DNS सर्वर को नेटवर्क (एक नियोजित घटना) में जोड़ने की आवश्यकता होती है, अपवादों को आवश्यकतानुसार आवश्यक आधार पर परिभाषित किया जा सकता है।
एंड्रयू बी
स्रोत
24

उदाहरण के लिए, हमलावर यूनिवर्सिटी के डीएनएस सर्वर को डीएनएस एम्प्लीफिकेशन डीडीओएस अटैक के लिए ट्रांजिट होस्ट के रूप में इस्तेमाल कर सकते हैं

user1700494
स्रोत
आपके द्वारा पोस्ट किए गए लिंक में, dns प्रवर्धन के तहत, यह उल्लेख करता है कि आप क्वेरी से 50x अधिक प्रतिक्रिया प्राप्त करने के लिए एक खुदाई क्वेरी का उपयोग कैसे कर सकते हैं। लेकिन अगर पोर्ट 53 पर आने वाले यूडीपी ट्रैफिक को अवरुद्ध कर दिया जाए तो कैसे मैं अभी भी विश्वविद्यालय के पते पर खुदाई कर सकता हूं।
डैनियल कोबे
1
@DanielKobe DNS ज़ोन प्रश्न में मेजबान रिकॉर्ड के मालिक केवल DNS सर्वर पर मौजूद नहीं है कि आप वर्तमान में UDP / 53 पैकेट नहीं भेज सकते हैं। यह एक विभाजित-क्षितिज DNS सेटअप का संकेत भी हो सकता है।
मथियास आर जेसेन
11

एंड्रयू बी का जवाब बेहतरीन है। उसने क्या क़हा।

इस सवाल का जवाब देने के लिए कि "यूडीपी पैकेटों को पोर्ट नंबर 53 में भेजने से क्या अवांछनीय चीजें हो सकती हैं?" अधिक विशेष रूप से, मैंने "डीएनएस-आधारित हमलों" को नजरअंदाज कर दिया और यह आसान लेख मिला । विवरण बताने के लिए:

  1. वितरित परावर्तन DoS हमला
  2. कैश पॉइजनिंग
  3. टीसीपी SYN बाढ़
  4. डीएनएस टनलिंग
  5. डीएनएस अपहरण
  6. बेसिक NXDOMAIN हमला
  7. फैंटम डोमेन पर हमला
  8. यादृच्छिक उपडोमेन हमला
  9. डोमेन लॉक-अप हमला
  10. सीपीई उपकरणों से बोटनेट-आधारित हमले

यह संभव डीएनएस-आधारित हमलों की एक निर्णायक सूची नहीं है, सिर्फ दस जो एक लेख में उल्लेख करने के लिए पर्याप्त पाया गया।

वास्तव में, कम जवाब है, "आप नहीं है, तो है यह बेनकाब करने के लिए, नहीं है।"

कैथरीन विलिअर्ड
स्रोत
3
"If you don't have to expose it, don't."जो जीवन में कई चीजों के लिए सच है।
user9517
3

वे इसे रोक रहे हैं, क्योंकि वे कर सकते हैं और यह एक समझदार सुरक्षा नीति है।

संभावित रूप से खुले रिज़ॉल्वर होने की तुलना में समस्या अधिक गंभीर है - दिन के अंत में यह सुरक्षित रूप से DNS सर्वर स्थापित करने से कोई फर्क नहीं पड़ता है, बिना खुले रिज़ॉल्वर के बिना, एंटी-डीडीओएस उपायों के साथ जब कोई सर्वर या मशीन गलती से स्थापित DNS सेवा के साथ होती है। , और मुख्य DNS सर्वर के लिए DNS अग्रेषण अनुरोध करने से कोई भी हमलावर आपके DNS सर्वर पर लागू ट्रैफ़िक लिमिटिंग और सुरक्षा प्रतिबंधों को बायपास करने की अनुमति देगा।

अनुरोध आंतरिक इन्फ्रा-सेंक्टक्चर से भी आएंगे, और DNS आंतरिक नामों और आंतरिक संगठन / नेटवर्क / आईपी पते के अवांछित विवरण को उजागर कर सकते हैं।

साथ ही, नेटवर्क सुरक्षा नियमों के अनुसार, आप जितनी कम सेवाओं और सेवाओं का बहिष्कार करते हैं, उनकी कम संभावनाओं से समझौता किया जाता है और अंदर से आपकी इन्फ्रा-स्ट्रक्चर पर हमले का लाभ उठाने के लिए प्रवेश बिंदु के रूप में उपयोग किया जाता है।

रुई एफ रिबेरो
स्रोत
2

आमतौर पर, जब UDP ट्रैफ़िक की बात आती है, तो आप प्रतिबंधक होना चाहते हैं क्योंकि:

क) टीसीपी की तुलना में, पैकेट फ़िल्टर के लिए मज़बूती से निर्धारित करना मुश्किल है कि क्या आने वाला पैकेट नेटवर्क के अंदर से अनुरोध का उत्तर है ... या एक अवांछित अनुरोध। एक पैकेट फ़िल्टरिंग फ़ायरवॉल के माध्यम से क्लाइंट / सर्वर भूमिकाओं को लागू करना इस प्रकार कठिन हो जाता है।

b) कोई भी प्रक्रिया जो किसी UDP पोर्ट को किसी सर्वर या क्लाइंट कंप्यूटर पर बांधती है, भले ही वह केवल उस पोर्ट से बंधे हो, क्योंकि वह स्वयं एक अनुरोध करना चाहता है, अनचाहे पैकेट से भी अवगत कराया जाएगा, जिससे सिस्टम सुरक्षा निर्भर न हो। इस प्रक्रिया में दोष जो इसे शोषण या भ्रमित करने की अनुमति देगा। अतीत में एनटी क्लाइंट्स के साथ इस तरह के मुद्दे रहे हैं। एक टीसीपी क्लाइंट के साथ, उस क्लाइंट को भेजे गए अवांछित डेटा, ज्यादातर मामलों में, ऑपरेटिंग सिस्टम द्वारा खारिज कर दिया जाएगा।

ग) यदि आप NAT चला रहे हैं, तो भारी UDP ट्रैफ़िक NAT उपकरणों के लिए बहुत अधिक कार्यभार पैदा कर सकता है क्योंकि इसी तरह के कारण

rackandboneman
स्रोत
0

वहाँ मौजूद उपकरण जो DNS प्रोटोकॉल और पोर्ट का उपयोग करके वीपीएन सुरंग बनाते हैं।

आयोडीन उनमें से एक है। यह इस सॉफ्टवेयर को चलाने वाले सर्वर के माध्यम से पूरी तरह से ट्रैफिक को टनल द्वारा फायरवॉल को बायपास करने की अनुमति देता है। जैसा कि विवरण बताता है, यह DNS प्रोटोकॉल का उपयोग करता है।

यह और इसी तरह के उपकरण इस सीमा का कारण हो सकते हैं।

गेरहार्ड
स्रोत
2
आप किसी भी सामान्य एप्लिकेशन प्रोटोकॉल पर आईपी को सुरंग कर सकते हैं , टीएलएस का उल्लेख नहीं करने के लिए, इसलिए ट्रैफ़िक छोड़ने के लिए शायद ही एक अच्छा कारण है। इसके अलावा, आपको लगता है कि एक आईपी-ओवर-डीएनएस स्कीम एक अल्पकालिक पोर्ट क्लाइंट-साइड (जैसे रेगुलर डीएनएस क्लाइंट करते हैं), पोर्ट 53 की बजाय बांध देगा।
ब्लैकलाइट शाइनिंग
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.