मैंने इस विषय पर शोध करने में थोड़ा समय बिताया है और मुझे इसका सटीक उत्तर नहीं मिल रहा है, इसलिए मुझे पूरा विश्वास है कि यह कोई डुप्लिकेट नहीं है, और जबकि मेरा प्रश्न एक सुरक्षा आवश्यकता पर आधारित है, मुझे लगता है कि यह अभी भी सुरक्षित है यहां पूछें लेकिन मुझे बताएं कि क्या मुझे सुरक्षा समुदाय को स्थानांतरित करने की आवश्यकता है।
अनिवार्य रूप से, DNS क्वेश्चन कभी टीसीपी का उपयोग करते हैं (यदि हां, तो यह किस परिदृश्य में हो सकता है)? फिर से, मैं केवल प्रश्नों के बारे में बात कर रहा हूँ। क्या उनके लिए टीसीपी पर यात्रा करना संभव है? यदि डोमेन लंबाई में केवल अधिकतम 253 बाइट्स हो सकते हैं, और यूडीपी पैकेट 512 बाइट्स के रूप में बड़े हो सकते हैं, तो क्या हमेशा यूडीपी के रूप में प्रश्न नहीं निकलेंगे? मुझे नहीं लगता था कि टीसीपी के उपयोग की आवश्यकता के लिए एक resolvable क्वेरी काफी बड़ी हो सकती है। यदि किसी DNS सर्वर को कभी भी 253 बाइट्स से बड़े डोमेन के लिए अनुरोध मिला है, तो क्या सर्वर इसे छोड़ देगा / कोशिश नहीं करेगा और इसे हल करेगा? मुझे यकीन है कि मैंने यहाँ कुछ गलत धारणाएँ बनाई हैं।
कुछ संदर्भों के लिए, मैं सुरक्षा समूहों के साथ उनके सुरक्षा निगरानी उपकरण में DNS प्रश्नों को ऑनबोर्ड करने के लिए काम कर रहा हूं, और विभिन्न कारणों से हमने तय किया है कि हम DNS सर्वर और डोमेन नियंत्रकों पर मानक पैकेट कैप्चर के माध्यम से इस ट्रैफ़िक को कैप्चर करेंगे। मुख्य आवश्यकता सभी DNS प्रश्नों को कैप्चर करना है ताकि वे किसी भी डोमेन को हल करने के लिए क्लाइंट द्वारा किए गए प्रयास की पहचान कर सकें। इस आवश्यकता के आधार पर, हम DNS प्रतिक्रियाओं या ज़ोन स्थानांतरण जैसे अन्य ट्रैफ़िक को कैप्चर करने से चिंतित नहीं हैं, जो इस तथ्य से भी प्रेरित है कि हमें लॉग वॉल्यूम को यथासंभव सीमित करने की आवश्यकता है। जैसे, हम केवल DNS सर्वरों के लिए नियत DNS प्रश्नों को कैप्चर करने और UDP पर भेजे जाने की योजना बना रहे हैं। अधिक सन्दर्भ के लिए (यहाँ प्रश्न की तरह रेंगना), अब यह लाया गया है कि हमें सुरक्षा का विस्तार करने की आवश्यकता हो सकती है ' दृश्यता इसलिए वे DNS पर चलने वाले गुप्त चैनलों जैसी गतिविधि के लिए निगरानी कर सकते हैं (जो DNS प्रतिक्रियाओं को भी पकड़ने की आवश्यकता होगी, और बाद में टीसीपी ट्रैफ़िक)। लेकिन उस प्रकार के परिदृश्य में भी, मुझे लगा कि कोई भी आउटबाउंड DNS ट्रैफ़िक लुकअप / क्वेरीज़ के रूप में होगा, और ये हमेशा UDP से अधिक होगा, भले ही एक दुर्भावनापूर्ण स्रोत से (पहले पैराग्राफ में मेरे तर्क के कारण)। तो इससे कुछ अतिरिक्त प्रश्न सामने आते हैं:
क्या हम कम से कम मेरे द्वारा बताए गए दृष्टिकोण के साथ बातचीत के आधे हिस्से पर कब्जा कर लेंगे? या कभी कोई क्लाइंट DNS ट्रैफ़िक को भेजेगा जो क्वेरी के रूप में नहीं है? (शायद DNS सर्वर की प्रतिक्रिया के लिए किसी प्रकार का उत्तर, और शायद टीसीपी से बाहर जाना समाप्त हो सकता है)
क्या टीसीपी का उपयोग करने के लिए DNS प्रश्नों को संशोधित किया जा सकता है? क्या एक DNS सर्वर टीसीपी पर आने वाली DNS क्वेरी को स्वीकार और जवाब देगा?
यह सुनिश्चित नहीं है कि यह प्रासंगिक है, लेकिन हम DNS अनुरोधों को अधिकृत DNS सर्वरों तक सीमित करते हैं और पोर्ट 53 पर अन्य सभी ट्रैफ़िक को बाहर जाने से रोकते हैं। मैं निश्चित रूप से एक धोखेबाज़ हूं, इसलिए मुझे खेद है कि अगर मेरा प्रश्न आज्ञाकारी नहीं है, और मुझे बताएं मुझे कैसे संशोधित करना चाहिए।