কেন কোনও বিশ্ববিদ্যালয় গন্তব্য বন্দর 53 দিয়ে আগত ইউডিপি ট্র্যাফিক অবরোধ করবে?

20

আমার উপলব্ধি থেকে ডিএনএস ইউডিপি এবং পোর্ট 53 ব্যবহার করে 53 53 নং পোর্টে আগত ইউডিপি প্যাকেটগুলি অবরুদ্ধ না করা হলে কোন অনাকাঙ্ক্ষিত ঘটনা ঘটতে পারে?

আপডেট: প্যাকেটগুলির উদ্ভব বা বিশ্ববিদ্যালয়-পরিচালিত স্থানীয় ডিএনএস সার্ভার বা বিশ্ববিদ্যালয়-পরিচালিত অনুমোদনের ডিএনএস সার্ভারের গন্তব্য রয়েছে।

domain-name-system  security  udp 
ড্যানিয়েল কোবে
সূত্র
19
Why would a university block incoming UDP traffic with destination port 53?- কেন করবে না? বা অন্য কোনও পদ্ধতিতে রাখুন: কেন তারা 53৩ এর গন্তব্য পোর্ট সহ আগত ইউডিপি (বা টিসিপি) ট্র্যাফিককে নেটওয়ার্ক / ফায়ারওয়াল অভ্যন্তরীণ অভ্যন্তরে ট্রানজিট করার অনুমতি দেবে যদি না সেই নাম সার্ভারগুলি থাকে তবে পাবলিক ডোমেন নেম (গুলি) এর জন্য অনুমোদিত নাম সার্ভারগুলি প্রাপ্ত করার জন্য except অভ্যন্তরীণ বিশ্ববিদ্যালয় নেটওয়ার্ক হোস্ট?
joeqwerty
2
বিশ্ববিদ্যালয়ের নিজস্ব ডিএনএস সার্ভার ব্যতীত পোর্ট 53 এর জন্য সমস্ত অভ্যন্তরীণ ইউডিপি ট্র্যাফিক ব্লক করা আছে? সন্দেহজনকভাবে আমার কাছে সেন্সরশিপের জন্য ডিএনএস ব্যবহার করার প্রয়াসের মতো মনে হচ্ছে। যাইহোক এমন একটি যা আমি ভাবতে পারি না এমন কোনও সিস্টেমে কিছুতেই কাজ করবে না, যেহেতু ইউডিপি অনুরোধগুলি ফিরে না আসায় ক্লায়েন্টরা কেবল টিসিপি চেষ্টা করবে। যতক্ষণ না আপনি যাতে তারাও বন্দর 53. জন্য বিভিন্ন TCP ট্রাফিক ড্রপ উল্লেখ করতে ভুলে গেছি
Blacklight শাইনিং
5
একটি সাধারণ অনুশীলন হিসাবে, কোনও সিস্টেম প্রশাসক নিজেকে কখনই জিজ্ঞাসা করে না "আমার এই বন্দরটি ব্লক করার কোনও কারণ আছে কি"? সাধারণত, তাদের ফায়ারওয়ালে তাদের সমস্ত বন্দর ডিফল্টরূপে অবরুদ্ধ থাকে এবং তারা নিজেকে জিজ্ঞাসা করে যে " আমার এই বন্দরটি খোলার কেন খুব ভাল কারণ আছে "?
ফেডেরিকো পোলোনি
ডিএনএস কেবল ইউডিপি ব্যবহার করে না, এটি টিসিপিও ব্যবহার করে। আপনি যদি ইউডিপি ট্র্যাফিকের অনুমতি দেন তবে আপনার টিসিপিও অনুমতি দেওয়া উচিত, বা জিনিসগুলি ভেঙে যায় (এবং বিপরীতে, আপনি ইউডিপি ফেলে দিলে, টিসিপিও ফেলে দিন)।
এডেল্ডিল
2
@ ফেডেরিকো পোলোনি কেবল ভান করবেন না যে আপনি যদি এটি করেন তবে আপনি "ইন্টারনেট অ্যাক্সেস" সরবরাহ করছেন, কারণ আপনি না।
ডেভিড শোয়ার্টজ

উত্তর:

40

যুক্তি এইভাবে কাজ করে:

  1. ইন্টারনেটে রেকর্ড সরবরাহকারী কেবল অনুমোদিত ডিএনএস সার্ভারগুলিই উন্মুক্ত করা দরকার to
  2. ইন্টারনেটে উন্মুক্ত পুনরাবৃত্তি সার্ভারগুলি অনিবার্যভাবে নেটওয়ার্ক স্ক্যানগুলির দ্বারা এবং অপব্যবহারের দ্বারা পাওয়া যাবে। (ব্যবহারকারী 1700494 এর উত্তর দেখুন)
  3. দুর্ঘটনাক্রমে কেউ প্রকাশিত পুনরাবৃত্তকারী সার্ভারের কারও সামনে দাঁড়ানোর সম্ভাবনা প্রকাশিত অনুমোদনপ্রাপ্ত ডিএনএস সার্ভারের চেয়ে বেশি। এর কারণ হ'ল অনেক অ্যাপ্লিকেশন এবং "বাক্সের বাইরে" অনিয়ন্ত্রিত পুনরাবৃত্তির অনুমতি দেওয়ার জন্য ডিফল্টটিকে কনফিগার করে। অনুমোদনের কনফিগারেশনগুলি আরও অনেকগুলি কাস্টমাইজড এবং বিরল সম্মুখীন হয়।
  4. 1-3 দেওয়া হয়েছে, 53 টির গন্তব্য পোর্টের সাথে সমস্ত অনাকাঙ্ক্ষিত ইনবাউন্ড ট্র্যাফিক ছেড়ে দেওয়া নেটওয়ার্ককে সুরক্ষা দেয়। বিরল ইভেন্টে অন্য প্রামাণ্য ডিএনএস সার্ভারটি নেটওয়ার্কে যুক্ত করার প্রয়োজন (একটি পরিকল্পিত ইভেন্ট), ব্যতিক্রমগুলি প্রয়োজনীয় ভিত্তিতে সংজ্ঞায়িত করা যায়।
অ্যান্ড্রু বি
সূত্র
24

উদাহরণস্বরূপ, আক্রমণকারীরা বিশ্ববিদ্যালয়ের ডিএনএস সার্ভারকে ডিএনএস প্রশস্তকরণ ডিডিওস অ্যাটাকের জন্য ট্রানজিট হোস্ট হিসাবে ব্যবহার করতে পারে

user1700494
সূত্র
আপনার পোস্ট করা লিঙ্কটিতে, ডিএনএস পরিবর্ধনের অধীনে, আপনি কীভাবে প্রশ্নের চেয়ে 50x বৃহত্তর প্রতিক্রিয়া পেতে কীভাবে আপনি একটি খনক কোয়েরি ব্যবহার করতে পারবেন তা উল্লেখ করেছে। 53 যদি পোর্টে আগত ইউডিপি ট্র্যাফিক যদি অবরুদ্ধ থাকে তবে কীভাবে আসুন আমি এখনও কোনও বিশ্ববিদ্যালয়ের ঠিকানায় একটি খনন অনুসন্ধান করতে পারি।
ড্যানিয়েল কোবে
1
@ ড্যানিয়েলকোবি ডিএনএস জোনটিতে প্রশ্নের মধ্যে হোস্ট রেকর্ডের মালিকানা কেবলমাত্র ডিএনএস সার্ভারে থাকা সীমাবদ্ধ নয় যে আপনি বর্তমানে ইউডিপি / 53 প্যাকেট প্রেরণ করতে পারবেন না। এটি বিভক্ত দিগন্ত ডিএনএস সেটআপের ইঙ্গিতও হতে পারে।
ম্যাথিয়াস আর জেসেন
11

অ্যান্ড্রু বি এর উত্তর দুর্দান্ত। সে কি বললো.

এই প্রশ্নের উত্তর দিতে "যদি 53 নম্বর বন্দরটিতে আগত ইউডিপি প্যাকেটগুলি অবরুদ্ধ না করা হয় তবে কী অনাকাঙ্ক্ষিত জিনিসগুলি ঘটতে পারে?" আরও সুনির্দিষ্টভাবে, আমি "ডিএনএস-ভিত্তিক আক্রমণ" গুগল করেছিলাম এবং এই সহজ নিবন্ধটি পেয়েছি । প্যারাফ্রেজ করতে:

  1. বিতরণ প্রতিবিম্ব DoS আক্রমণ
  2. ক্যাশে বিষ
  3. টিসিপি এসওয়াইএন বন্যা
  4. ডিএনএস টানেলিং
  5. ডিএনএস হাইজ্যাকিং
  6. বেসিক NXDOMAIN আক্রমণ
  7. ফ্যান্টম ডোমেন আক্রমণ
  8. এলোমেলো সাবডোমেন আক্রমণ
  9. ডোমেন লক-আপ আক্রমণ
  10. সিপিই ডিভাইস থেকে বোটনেট-ভিত্তিক আক্রমণ

এটি সম্ভাব্য ডিএনএস-ভিত্তিক আক্রমণগুলির চূড়ান্ত তালিকা নয়, কেবল দশটি যা একটি নিবন্ধ উল্লেখ করার মতো যথেষ্ট উল্লেখযোগ্য বলে মনে হয়েছিল।

সত্যিই, সংক্ষিপ্ত উত্তর হল "আপনি না থাকলে আছে এটা প্রকাশ করার, না।"

ক্যাথরিন ভিলিয়ার্ড
সূত্র
3
"If you don't have to expose it, don't."যা জীবনের অনেক কিছুর জন্য সত্য।
ব্যবহারকারী 9517 GoFundMonica
3

তারা এটিকে অবরুদ্ধ করছে, কারণ তারা এটি করতে পারে এবং এটি একটি বোধগম্য সুরক্ষা নীতি।

সমস্যাটি প্রায়শই সম্ভাব্য ওপেন রিসলভারগুলি হওয়ার চেয়ে গুরুতর হয় - দিনের শেষে কোনও ডিএনএস সার্ভিস বা মেশিনটি ভুলক্রমে ইনস্টল করা থাকলে অ্যান্টি-ডিডিওএস ব্যবস্থা সহ নিরাপদে ডিএনএস সার্ভার স্থাপন করা কোনও বিষয় নয় the , এবং প্রধান ডিএনএস সার্ভারে ডিএনএস ফরোয়ার্ডিংয়ের অনুরোধগুলি করা কোনও আক্রমণকারীকে আপনার ট্র্যাফিক সীমাবদ্ধতা এবং আপনার ডিএনএস সার্ভারগুলিতে প্রয়োগ করা সুরক্ষা বিধিনিষেধকে বাইপাস করার অনুমতি দেবে।

অনুরোধগুলি অভ্যন্তরীণ ইনফ্রা-স্ক্রাস্ট্রাকচার থেকেও উপস্থিত হবে এবং ডিএনএসের অভ্যন্তরীণ নামগুলি এবং অভ্যন্তরীণ সংস্থা / নেটওয়ার্ক / আইপি অ্যাড্রেসিংয়ের অযাচিত বিবরণ প্রকাশ করতে পারে।

এছাড়াও, নেটওয়ার্ক সুরক্ষা বিধি অনুসারে, বাহিরের কাছে আপনি যে পরিমাণ কম পরিষেবা এবং পরিষেবাদি প্রকাশ করবেন, সেগুলির কম সম্ভাবনা হ'ল অভ্যন্তরীণ থেকে আপনার ইনফ্রা-কাঠামোর উপর আক্রমণ আক্রমণের জন্য এন্ট্রি পয়েন্ট হিসাবে ব্যবহার করা হচ্ছে।

রুই এফ রিবেইরো
সূত্র
2

সাধারণত, যখন ইউডিপি ট্র্যাফিকের কথা আসে তখন আপনি সীমাবদ্ধ থাকতে চান কারণ:

ক) টিসিপির সাথে তুলনা করে, কোনও প্যাকেট ফিল্টারের পক্ষে নির্ভরযোগ্যভাবে নির্ধারণ করা শক্ত হয় যে কোনও ইনকামিং প্যাকেট যদি নেটওয়ার্কের অভ্যন্তরের কোনও অনুরোধের উত্তর ... বা একটি অযাচিত অনুরোধ। একটি প্যাকেট ফিল্টারিং ফায়ারওয়ালের মাধ্যমে ক্লায়েন্ট / সার্ভারের ভূমিকা প্রয়োগ করা আরও শক্ত হয়ে যায়।

খ) কোনও সার্ভার বা ক্লায়েন্ট কম্পিউটারের কোনও ইউডিপি পোর্টের সাথে বাঁধা এমন কোনও প্রক্রিয়া, এমনকি যদি এটি কেবল সেই বন্দরের সাথে আবদ্ধ হয় কারণ এটি নিজেই একটি অনুরোধ করতে চায়, অযৌক্তিক প্যাকেটেরও বহিঃপ্রকাশ করা হবে, সেখানে সিস্টেমের সুরক্ষা নির্ভর করে না প্রক্রিয়াটির ত্রুটিগুলি যা এটি ব্যবহার করে বা বিভ্রান্ত করতে দেয়। অতীতে যেমন এনটিপি ক্লায়েন্টদের সাথে এ জাতীয় সমস্যা রয়েছে। টিসিপি ক্লায়েন্টের সাহায্যে, সেই ক্লায়েন্টকে পাঠানো অযাচিত ডেটা, বেশিরভাগ ক্ষেত্রে, অপারেটিং সিস্টেম দ্বারা বাতিল করা হবে।

গ) আপনি যদি এনএটি চালাচ্ছেন, ভারী ইউডিপি ট্র্যাফিক একই কারণে নেটিং সরঞ্জামগুলির জন্য প্রচুর কাজের চাপ তৈরি করতে পারে ক)

rackandboneman
সূত্র
0

ডিএনএস প্রোটোকল এবং পোর্ট ব্যবহার করে ভিপিএন টানেল তৈরি করা সরঞ্জাম রয়েছে।

আয়োডিন তাদের মধ্যে একটি। এটি এই সফ্টওয়্যারটি চালিত সার্ভারের মাধ্যমে পুরোপুরি ট্র্যাফিক টানেল দিয়ে ফায়ারওয়ালগুলি বাইপাস করতে দেয়। বিবরণে যেমন বলা হয়েছে, এটি ডিএনএস প্রোটোকল ব্যবহার করে।

এটি এবং এই জাতীয় সরঞ্জামগুলি এই সীমাবদ্ধতার কারণ হতে পারে।

গেরহার্ড
সূত্র
2
আপনি সুড়ঙ্গ IP এর মাধ্যমে প্রায় কাছাকাছি যা করতে পারেন কোন সাধারণ আবেদন প্রোটোকলের না TLS এর উল্লেখ করতে, যাতে এর কমই ট্রাফিক ড্রপ করার জন্য একটি ভাল কারণ। এছাড়া, আপনি একটি IP ওভার ডিএনএস প্রকল্প (নিয়মিত ডিএনএস ক্লায়েন্ট কি মত) একটি ক্ষণজীবী বন্দর ক্লায়েন্ট-সাইড জুড়তে হবে, বরং পোর্ট 53. চেয়ে মনে হবে
Blacklight শাইনিং
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.