대학에서 대상 포트 53으로 들어오는 UDP 트래픽을 차단하는 이유는 무엇입니까?


20

내 이해에서 DNS는 UDP와 포트 53을 사용합니다. 포트 번호 53으로 들어오는 UDP 패킷이 차단되지 않으면 어떤 바람직하지 않은 일이 발생할 수 있습니까?

업데이트 : 패킷은 대학에서 운영하는 로컬 DNS 서버로 보내지거나 대학에서 운영하는 신뢰할 수있는 DNS 서버로 전송됩니다.


19
Why would a university block incoming UDP traffic with destination port 53?왜 안 그래? 또는 다른 방법으로 설명하십시오. 대상 서버가 53 인 수신 UDP (또는 TCP) 트래픽이 네트워크 / 방화벽 인바운드를 통과하도록 허용하는 이유는 무엇입니까? 내부 대학 네트워크에서 호스팅됩니까?
joeqwerty

2
대학의 자체 DNS 서버를 제외하고 포트 53에 대한 모든 인바운드 UDP 트래픽이 차단됩니까? 그것은 검열을 위해 DNS를 사용하려는 시도처럼 보입니다. 내가 생각할 수있는 시스템에서는 전혀 작동하지 않지만 UDP 요청이 다시 나타나지 않으면 클라이언트는 TCP를 시도하기 때문에. 포트 53에 대한 TCP 트래픽도 떨어 뜨린다는 사실을 잊어 버리지 않으면
Blacklight Shining

5
일반적으로 시스템 관리자는 "내가이 포트를 차단해야하는 이유가 있습니까?"라고 묻지 않습니다. 일반적으로 방화벽에는 기본적으로 모든 포트가 차단되어 있으며 " 이 포트를 열어야하는 이유 가 아주 많습니다 "라고 스스로에게 묻습니다 .
Federico Poloni

DNS는 UDP 만 사용하지 않고 TCP도 사용합니다. UDP 트래픽을 허용하면 TCP도 허용해야합니다. 그렇지 않으면 작업이 중단됩니다 (또는 UDP를 삭제하면 TCP도 삭제).
Edheldil

2
@FedericoPoloni 그렇게하지 않으면 "인터넷 액세스"를 제공하는 척하지 마십시오.
David Schwartz

답변:


40

논리는 다음과 같이 작동합니다.

  1. 인터넷에 레코드를 제공 만 권한이있는 DNS 서버가 있습니다 필요한 노출 될 수 있습니다.
  2. 인터넷에 노출 된 개방형 재귀 서버는 필연적으로 네트워크 스캔으로 발견되어 악용 될 것입니다. (user1700494의 답변 참조)
  3. 누군가 노출 된 재귀 서버를 실수로 서있을 가능성은 노출 된 신뢰할 수있는 DNS 서버의 것보다 큽니다. 많은 어플라이언스와 "기본 제공"구성이 기본적으로 무제한 재귀를 허용하기 때문입니다. 신뢰할 수있는 구성은 훨씬 더 사용자 정의되고 자주 발생하지 않습니다.
  4. 1-3을 지정하면 대상 포트 53으로 원하지 않는 모든 인바운드 트래픽을 삭제하면 네트워크가 보호됩니다. 드물게 다른 신뢰할 수있는 DNS 서버를 네트워크에 추가해야하는 경우 (예정된 이벤트), 필요에 따라 예외를 정의 할 수 있습니다.

24

예를 들어 공격자는 대학의 DNS 서버를 DNS 증폭 DDoS 공격의 전송 호스트로 사용할 수 있습니다.


게시 한 링크에서 dns 증폭 아래에서 dig 쿼리를 사용하여 쿼리보다 50 배 큰 응답을받는 방법에 대해 설명합니다. 그러나 포트 53에서 들어오는 UDP 트래픽이 차단되면 어떻게 대학교 주소로 발굴 쿼리를 할 수 있습니까?
Daniel Kobe

1
@DanielKobe 문제의 호스트 레코드를 소유 한 DNS 영역은 현재 UDP / 53 패킷을 보낼 수없는 DNS 서버 에만 존재할 수 없습니다. 분할 수평 DNS 설정을 나타낼 수도 있습니다.
Mathias R. Jessen

11

Andrew B의 답변은 훌륭합니다. 그가 말한 것.

"포트 번호 53으로 들어오는 UDP 패킷이 차단되지 않은 경우 어떤 바람직하지 않은 일이 발생할 수 있습니까?" 더 구체적으로, 나는 "DNS 기반 공격"을 구글 검색 하고이 편리한 기사를 얻었다 . 말을 바꾸려면 :

  1. 분산 반사 DoS 공격
  2. 캐시 중독
  3. TCP SYN 플러드
  4. DNS 터널링
  5. DNS 도용
  6. 기본 NXDOMAIN 공격
  7. 팬텀 도메인 공격
  8. 무작위 하위 도메인 공격
  9. 도메인 잠금 공격
  10. CPE 장치의 봇넷 기반 공격

이 기사는 DNS 기반 공격에 대한 결정적인 목록이 아니며 기사에서 언급 할만한 가치가있는 것으로 단 10 개에 불과합니다.

정말 짧은 대답은 "당신이하지 않은 경우이다 를 노출하지 않습니다."


3
"If you don't have to expose it, don't."그것은 인생의 많은 것들에 해당됩니다.
user9517은 GoFundMonica

3

그들이 할 수 있고 합리적인 보안 정책이기 때문에 차단하고 있습니다.

이 문제는 잠재적 인 공개 해결 프로그램을 보유하는 것보다 더 심각한 경우가 많습니다. 하루가 끝날 무렵 공개 서비스를 제공하지 않고 DNS 서버를 안전하게 설정하는 것은 중요하지 않습니다. 기본 DNS 서버에 대한 DNS 전달 요청을 수행하면 공격자가 DNS 서버에 구현 된 트래픽 제한 및 보안 제한을 우회 할 수 있습니다.

요청은 내부 인프라에서 온 것으로 보이며 DNS 내부 이름 및 내부 조직 / 네트워크 / IP 주소 지정의 원치 않는 세부 정보가 노출 될 수 있습니다.

또한 네트워크 보안 규칙에 따라 외부에 노출되는 서비스 및 서비스의 수가 적을수록 내부에서 인프라에 대한 공격을 활용하기위한 서비스 및 서비스의 노출 가능성이 낮아지고 진입 점으로 사용됩니다.


2

일반적으로 UDP 트래픽과 관련하여 다음과 같은 이유로 제한을 원합니다.

a) TCP와 비교할 때 패킷 필터가 들어오는 패킷이 네트워크 내부의 요청에 대한 응답인지 또는 요청하지 않은 요청인지를 확실하게 결정하기가 더 어렵습니다. 따라서 패킷 필터링 방화벽을 통해 클라이언트 / 서버 역할을 수행하는 것이 어려워집니다.

b) 서버 또는 클라이언트 컴퓨터의 UDP 포트에 바인딩하는 프로세스는 요청을하기 위해 해당 포트에만 바인딩하더라도 요청하지 않은 패킷에도 노출되어 시스템 보안에 의존하지 않습니다. 프로세스에서이를 악용하거나 혼동시킬 수있는 결함. 과거 NTP 클라이언트와 같은 문제가있었습니다. TCP 클라이언트를 사용하면 대부분의 경우 해당 클라이언트로 전송 된 요청하지 않은 데이터는 운영 체제에서 삭제됩니다.

c) NAT를 실행하는 경우 a)와 비슷한 이유로 인해 UDP 트래픽이 많으면 NAT 장비에 많은 작업 부하가 발생할 수 있습니다.


0

DNS 프로토콜과 포트를 사용하여 VPN 터널을 생성하는 도구가 있습니다.

요오드 는 그중 하나입니다. 이 소프트웨어를 실행하는 서버를 통해 트래픽을 완전히 터널링하여 방화벽을 우회 할 수 있습니다. 설명에서 알 수 있듯이 DNS 프로토콜을 사용합니다.

이 도구와 비슷한 도구가이 제한의 원인 일 수 있습니다.


2
당신은 터널 IP가 넘는 꽤 많이 할 수있는 모든 트래픽을 삭제하기위한 그래서의 거의 좋은 이유, 일반적인 응용 프로그램 프로토콜이 아니라 TLS를 언급합니다. 게다가, IP-over-DNS 체계는 포트 53이 아닌 임시 포트 클라이언트 측 (일반적인 DNS 클라이언트처럼)에 바인딩 될 것이라고 생각할 것입니다.
Blacklight Shining
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.