포트 53의 가짜 TCP 연결이 문제입니까?

나는 당신이 서버를 도메인 이름에 대한 권한 있는 DNS 서버로 사용하고 있다고 가정합니다. 이 경우 서버에 권한이 있는 이름을 확인해야 하는 클라이언트는 UDP만 사용해야 합니다. TCP는 영역 전송에 사용됩니다.

그리고 나는 또한 당신이 세계가 영역 전송을 할 수 있는 것을 원하지 않는다고 가정합니다. 그 자체로는 보안 위험이 없지만 영역 전송은 일반적으로 보조/백업 DNS 서버에만 허용됩니다. 대부분의 DNS 소프트웨어에는 서버가 영역 전송을 수행할 수 있도록 제어하는 ​​ACL도 있으므로 이를 제한하는 두 번째 방법도 있습니다. 하지만 보안은 필요한 것만 허용한다고 생각하기 때문에 영역 전송을 수행할 필요가 없는 호스트의 경우 포트 53에서 TCP를 차단하는 것이 좋습니다.

참고로, tcp 포트 53에 있는 임의의 Adsl 호스트로부터의 tcp 연결에는 악의적인 의도가 있습니다. 이는 합법적인 클라이언트가 사용자로부터 영역 전송을 수행할 필요가 없기 때문입니다. 그들은 네트워크와 관련된 기밀 정보에 액세스하려고 시도하거나 특정 DNS 소프트웨어의 취약점을 악용하려고 시도할 수 있습니다.

그것이 편집증적인 것은 아니지만 당신이 알아야 할 것입니다.

TCP는~ 아니다영역 전송에만 사용됩니다.

TCP는 DNS 서버가 잘린(TC=1) UDP 응답을 다시 보낼 경우 DNS 클라이언트가 사용하는 기본 폴백입니다. 단일 패킷에서 512바이트를 초과하는 데이터를 제공하는 경우 이런 일이 발생합니다.

DNS 서버를 실행하고 있다면~해야 한다DNS 클라이언트의 TCP 연결을 허용하며 그렇게 해도 보안 위험이 발생하지 않습니다. DNS 서버에 대한 DoS 공격 위험은 매우 낮지만 이는 모든 공개 서비스에 해당됩니다.

보다초안-ietf-dnsext-dns-tcp-요구사항이는 다음 달 내에 RFC로 게시될 예정입니다.

보다RFC 5966상세 사항은.

Ob 면책조항 - 제가 RFC를 작성했습니다.

호스트를 DNS 서버로 사용해야 하는 유일한 것은

• 로컬호스트
• 해당 호스트를 DNS 서버로 설정한 네트워크의 머신

"다른 모든 것"을 차단하는 가장 간단한 방법은 서비스가 해당 주소를 수신하지 못하도록 비활성화하는 것입니다. 귀하의 장치가 "귀하의 네트워크" 외부에 있는 경우 방화벽 규칙( iptables또는 기타)을 사용하여 외부 네트워크 주소로부터의 연결만 허용하십시오. 문제가 해결되지 않은 경우 외부 호스트를 "네트워크 내부"로 가져오려면 VPN이나 ​​기타 보안 터널이 필요할 수 있습니다.

내부 이름 서버에 대한 임의의 DNS 쿼리는 잠재적으로 전체 네트워크를 외부 당사자에게 매핑하여 공격 벡터를 제시하거나 전 세계가 액세스할 수 있는 경우 나머지 정보를 제공하지 않을 정보를 제공할 수 있다는 점을 명심하십시오. "무작위 ADSL 연결"은 좀비 봇넷 시스템이 사용자에게 불쾌한 일을 계획하는 데 사용되는 것일 수 있습니다.

네임서버에 들어오는 TCP를 열면 많은 보안 위험이 있습니다. 이를 주장하지 않는 사람은 제정신이 아닙니다. 루트 손상 내역을 살펴보십시오. 대부분은 UDP와 함께 TCP를 사용하여 수행됩니다. 기존 MUST 및 SHOULD RFC는 보안에 대해 잘 아는 사람들이 제작했습니다. TC=1비트를 사용하지 않는(또는 512바이트를 초과하는) DNS 영역이 있는 경우 - 들어오는 TCP를 활성화하지 마십시오. 나중에 바보들이 그렇게 하도록 하십시오.