Насколько я понимаю, DNS использует UDP и порт 53. Что нежелательного может произойти, если входящие пакеты UDP на порт номер 53 не были заблокированы?
ОБНОВЛЕНИЕ: пакеты исходят или предназначены для локального DNS-сервера университета или авторитетного DNS-сервера, управляемого университетом.
Логика работает так:
Например, злоумышленники могут использовать университетский DNS-сервер в качестве транзитного узла для DDoS-атака с усилением DNS
Ответ Эндрю Б. отличный. Что он сказал.
Чтобы ответить на вопрос «Что нежелательного может произойти, если входящие UDP-пакеты на порт номер 53 не будут заблокированы?» более конкретно, я погуглил "DNS-атаки" и получил эта удобная статья. Перефразируя:
Это не исчерпывающий список возможных атак на основе DNS, всего десять, о которых в статье было сказано достаточно внимания.
На самом деле, краткий ответ: «Если вы не иметь разоблачать его, не надо ".
Они блокируют это, потому что могут, и это разумная политика безопасности.
Проблема часто бывает более серьезной, чем наличие потенциальных открытых резолверов - в конце концов, не имеет значения безопасная настройка DNS-серверов, без использования открытых резолверов, с мерами защиты от DDOS, когда любой сервер или компьютер со службой DNS установлен по ошибке , а выполнение запросов переадресации DNS на главный DNS-сервер позволит любому злоумышленнику обойти ваши ограничения трафика и ограничения безопасности, реализованные на ваших DNS-серверах.
Запросы также будут поступать из внутренней инфраструктуры и могут раскрыть внутренние имена DNS и нежелательные детали внутренней организации / сети / IP-адресации.
Кроме того, в соответствии с правилами сетевой безопасности, чем меньше сервисов и сервисов вы открываете извне, тем меньше вероятность того, что они будут скомпрометированы и использованы в качестве точки входа для атаки на вашу инфраструктуру изнутри.
Обычно, когда дело доходит до UDP-трафика, вы хотите ввести ограничения, потому что:
а) По сравнению с TCP, фильтру пакетов сложнее надежно определить, является ли входящий пакет ответом на запрос изнутри сети ... или незапрашиваемым запросом. Таким образом, усложняется обеспечение ролей клиент / сервер через брандмауэр с фильтрацией пакетов.
б) Любой процесс, который привязывается к порту UDP на сервере или клиентском компьютере, даже если он привязывается к этому порту только потому, что он хочет сам сделать запрос, также будет подвержен незапрошенным пакетам, что делает безопасность системы зависимой от отсутствия дефекты в процессе, которые позволили бы его использовать или запутать. В прошлом такие проблемы возникали, например, с клиентами NTP. В случае TCP-клиента незапрошенные данные, отправленные этому клиенту, в большинстве случаев будут отброшены операционной системой.
c) Если вы используете NAT, интенсивный трафик UDP может создать большую рабочую нагрузку для оборудования NAT по тем же причинам, что и в a)
Существуют инструменты, которые создают VPN-туннель с использованием протокола и порта DNS.
йод один из них. Это позволяет обходить брандмауэры, полностью туннелируя трафик через сервер, на котором запущено это программное обеспечение. Как указано в описании, он использует протокол DNS.
Этот и аналогичные инструменты могут быть причиной этого ограничения.