나는이 주제를 연구하는 데 약간의 시간을 보냈으며 정확한 답변을 찾을 수없는 것처럼 보이므로 중복되지 않으며 상당히 안전하다고 생각합니다. 내 질문은 보안 요구 사항을 기반으로하지만 여전히 안전하다고 생각합니다. 여기로 문의하되 보안 커뮤니티로 옮겨야하는지 알려주십시오.
기본적으로 DNS 쿼리는 TCP를 사용합니까? 그렇다면 어떤 시나리오가 발생할 수 있습니까? 다시 한 번 나는 쿼리에 대해서만 이야기하고 있습니다. 그들이 TCP를 통해 여행 할 수 있습니까? 도메인의 최대 길이가 253 바이트이고 UDP 패킷의 크기가 512 바이트 일 수있는 경우 쿼리가 항상 UDP처럼 나오지 않습니까? 해결 가능한 쿼리가 TCP 사용을 요구할만큼 충분히 클 수 있다고 생각하지 않았습니다. DNS 서버가 253 바이트보다 큰 도메인에 대한 요청을받은 경우 서버가이를 삭제하거나 시도하지 않습니까? 나는 여기에 약간의 잘못된 가정을했다고 확신한다.
상황에 따라 보안 그룹과 협력하여 DNS 쿼리를 보안 모니터링 도구에 내장하고 있으며 여러 가지 이유로 DNS 서버 및 도메인 컨트롤러에서 표준 패킷 캡처를 통해이 트래픽을 캡처하기로 결정했습니다. 핵심 요구 사항은 모든 DNS 쿼리를 캡처하여 클라이언트가 어떤 도메인을 확인하려고 시도했는지 식별 할 수 있도록하는 것입니다. 이 요구 사항을 기반으로, 우리는 DNS 응답 또는 영역 전송과 같은 다른 트래픽 캡처와 관련이 없으며 가능한 한 로그 볼륨을 제한해야한다는 사실에 기인합니다. 따라서 DNS 서버로 향하고 UDP를 통해 전송되는 DNS 쿼리 만 캡처 할 계획입니다. 더 많은 맥락 (여기서는 다양한 질문 범위가 등장)에서 보안을 확장해야 할 필요성이 제기되었습니다. ' 가시성을 통해 DNS를 통해 실행되는 비밀 채널 (DNS 응답 및 TCP 트래픽을 캡처해야 함)과 같은 활동을 모니터링 할 수 있습니다. 그러나 그런 종류의 시나리오에서도 아웃 바운드 DNS 트래픽은 조회 / 쿼리의 형태가 될 것이며 악성 소스에서 온 경우에도 UDP를 통해 발생한다고 생각했습니다 (첫 번째 단락의 추론 때문에). 따라서 몇 가지 추가 질문이 있습니다.
내가 설명한 접근 방식으로 대화의 절반을 캡처하고 있습니까? 아니면 클라이언트가 쿼리 형식이 아닌 DNS 트래픽을 전송합니까? (DNS 서버의 응답에 대한 일종의 응답과 같으며 TCP를 통해 끝날 수 있습니다)
TCP를 사용하도록 DNS 쿼리를 수정할 수 있습니까? DNS 서버가 TCP를 통해 오는 DNS 쿼리를 수락하고 응답합니까?
관련성이 있는지 확실하지 않지만 DNS 요청을 승인 된 DNS 서버로 제한하고 포트 53을 통해 아웃 바운드 된 다른 모든 트래픽을 차단합니다. 확실히 신인이므로 내 질문에 부합하지 않으면 죄송합니다. 어떻게 수정해야합니까?