ডিএনএসের জিজ্ঞাসাগুলি কি সর্বদা ইউডিপিতে ভ্রমণ করে?

আমি এই বিষয়টি গবেষণার জন্য বেশ কিছুটা সময় ব্যয় করেছি এবং এর সঠিক উত্তর খুঁজে পাচ্ছি না, সুতরাং আমি নিশ্চিত যে এটি কোনও সদৃশ নয়, এবং যদিও আমার প্রশ্নটি সুরক্ষার প্রয়োজনের ভিত্তিতে রয়েছে, আমি মনে করি এটি এখনও নিরাপদ এখানে জিজ্ঞাসা করুন তবে আমাকে সুরক্ষা সম্প্রদায়টি স্থানান্তরিত করতে হবে কিনা তা আমাকে জানান।

মূলত, ডিএনএস কোয়েরিগুলি কি কখনও টিসিপি ব্যবহার করে (যদি তা হয় তবে এটির কোন পরিস্থিতি দেখা দিতে পারে)? আবার, আমি কেবল প্রশ্নের কথা বলছি। তাদের পক্ষে কি টিসিপি দিয়ে ভ্রমণ করা সম্ভব? যদি ডোমেনগুলি কেবল সর্বোচ্চ 253 বাইট দৈর্ঘ্য হতে পারে, এবং ইউডিপি প্যাকেটগুলি 512 বাইটের মতো বড় হতে পারে, তবে অনুসন্ধানগুলি সর্বদা ইউডিপি হিসাবে চলে না? আমি মনে করি না যে একটি সমাধানযোগ্য ক্যোরিয়ারটি টিসিপি ব্যবহারের প্রয়োজনের জন্য যথেষ্ট বড় হতে পারে। যদি কোনও ডিএনএস সার্ভার 253 বাইটের চেয়ে বড় কোনও ডোমেনের জন্য কোনও অনুরোধ পেয়ে থাকে তবে সার্ভারটি কি এটিকে ফেলে দেবে / চেষ্টা করে সমাধান করবে না? আমি নিশ্চিত আমি এখানে কিছু ভুল অনুমান করেছি।

কিছু প্রসঙ্গে, আমি সুরক্ষা গোষ্ঠীর সাথে ডিএনএস-এর অনুসন্ধানগুলিতে তাদের সুরক্ষা নিরীক্ষণ সরঞ্জামটির তদন্ত করতে কাজ করছি এবং বিভিন্ন কারণে আমরা সিদ্ধান্ত নিয়েছি যে আমরা ডিএনএস সার্ভার এবং ডোমেন নিয়ন্ত্রকদের স্ট্যান্ডার্ড প্যাকেট ক্যাপচারের মাধ্যমে এই ট্র্যাফিকটি ক্যাপচার করব। মূল প্রয়োজনীয়তাটি সমস্ত ডিএনএস ক্যোয়ারী ক্যাপচার করা যাতে তারা ক্লায়েন্ট কোনও প্রদত্ত ডোমেন সমাধান করার চেষ্টা করেছিল তা সনাক্ত করতে পারে। এই প্রয়োজনীয়তার ভিত্তিতে, আমরা ডিএনএসের প্রতিক্রিয়া বা জোন ট্রান্সফারের মতো অন্যান্য ট্র্যাফিক ক্যাপচারের সাথে উদ্বিগ্ন নই, যা এই সত্য দ্বারা চালিত যে আমাদের যতটা সম্ভব লগ ভলিউম সীমাবদ্ধ করা দরকার। এর মতো, আমরা কেবল ডিএনএস সার্ভারের জন্য নির্ধারিত ডিএনএস অনুসন্ধানগুলি ক্যাপচার করার পরিকল্পনা করছি এবং ইউডিপিতে প্রেরণ করেছি। আরও প্রসঙ্গের জন্য (এখানে প্রশ্নবিদ্ধার ধরণের সূত্রপাত), এখন এটি সামনে এনেছে যে আমাদের সুরক্ষার প্রসারণের প্রয়োজন হতে পারে ' এর দৃশ্যমানতা যাতে তারা ডিএনএসের উপর দিয়ে প্রচ্ছন্ন চ্যানেলগুলির মতো ক্রিয়াকলাপের জন্য নিরীক্ষণ করতে পারে (যা ডিএনএসের প্রতিক্রিয়াগুলিও ক্যাপচার করার প্রয়োজনীয়তা উপস্থাপন করে এবং পরবর্তীকালে টিসিপি ট্র্যাফিক)। তবে এমনকি সেই ধরণের দৃশ্যেও আমি ভেবেছিলাম যে কোনও বাহ্যিক ডিএনএস ট্র্যাফিক লুক্কুট / ক্যোয়ারী আকারে হবে এবং এটি সর্বদা ইউডিপি-র উপরে থাকবে, এমনকি কোনও দূষিত উত্স থেকেই (প্রথম অনুচ্ছেদে আমার যুক্তির কারণেই)। সুতরাং এটি কিছু অতিরিক্ত প্রশ্ন উত্থাপন করে:

• আমি কি আমার বর্ণিত পদ্ধতির সাথে ন্যূনতম কথোপকথনের অর্ধেকটি ক্যাপচার করব? অথবা কোনও ক্লায়েন্ট কি কখনও ডিএনএস ট্র্যাফিক প্রেরণ করবে যা কোয়েরি আকারে নয়? (সম্ভবত কোনও ডিএনএস সার্ভারের প্রতিক্রিয়াতে কোনও ধরণের প্রতিক্রিয়া এবং টিসিপির বাইরে গিয়ে শেষ হতে পারে)

• টিসিপি ব্যবহারের জন্য কি ডিএনএস প্রশ্নের সংশোধন করা যেতে পারে? কোনও ডিএনএস সার্ভার টিসিপিতে আসতে পারে এমন কোনও ডিএনএস কোয়েরি গ্রহণ এবং প্রতিক্রিয়া জানাবে?

এটি প্রাসঙ্গিক কিনা তা নিশ্চিত নয়, তবে আমরা অনুমোদিত ডিএনএস সার্ভারগুলিতে ডিএনএস অনুরোধগুলি সীমাবদ্ধ করি এবং 53 টি বন্দর জুড়ে অন্য সমস্ত ট্র্যাফিক আটকে রাখি I'm আমি অবশ্যই একটি ছদ্মবেশী, তাই যদি আমার প্রশ্নটি অনুগত না হয় তবে আমি দুঃখিত know আমার কীভাবে পরিবর্তন করা উচিত।

সাধারণ ডিএনএস ক্যোয়ারীগুলি ইউডিপি পোর্ট 53 ব্যবহার করে তবে লম্বা প্রশ্নগুলি (> 512 অক্টেটস) একটি 'ছাঁটাই' উত্তর পাবে, এটি সম্পূর্ণ প্রশ্নটি প্রেরণ / গ্রহণের সুবিধার্থে টিসিপি 53 কথোপকথনের ফলাফল দেয়। এছাড়াও, ডিএনএস সার্ভারটি 53 পোর্টের সাথে আবদ্ধ হয়, তবে ক্যোয়ারীটি উত্সাহিত হয়েছে এলোমেলোভাবে উচ্চ-সংখ্যাযুক্ত পোর্ট (49152 বা তারপরে) বন্দর 53 এ প্রেরণ করা হয়েছে 53 53 বন্দর থেকে প্রতিক্রিয়াটি একই বন্দরে ফিরে আসবে।

ডিএনএস দ্বারা ব্যবহৃত নেটওয়ার্ক পোর্ট | মাইক্রোসফ্ট ডক্স

সুতরাং, আপনি যদি আপনার নেটওয়ার্ক থেকে ডিএনএস অনুসন্ধানগুলিতে কিছু সুরক্ষা স্নুপিং করার পরিকল্পনা করে থাকেন তবে আপনার উপরের বিষয়গুলি অ্যাকাউন্টে নেওয়া উচিত।

অ-অনুসন্ধানের ট্র্যাফিকের জন্য বিবেচনা করুন যে ডিএনএস নতুন রেকর্ড সহ অন্যান্য ডিএনএস সার্ভারগুলি আপডেট করতে জোন ট্রান্সফার (ক্যোয়ারির ধরণ AXFR )ও ব্যবহার করে। মাঝারি আক্রমণে থাকা একজন ব্যক্তি এমন একটি স্থানান্তর দিয়ে সূচনা করতে পারেন, একটি প্রাথমিক নাম সার্ভার ডিডোস করছেন যাতে আপডেট হওয়া রেকর্ডের জন্য জিজ্ঞাসা করে কোনও মাধ্যমিককে সাড়া দিতে খুব ব্যস্ত থাকে। হ্যাকার তারপরে মাধ্যমিকের কাছে 'বিষাক্ত' রেকর্ডগুলি খাওয়ানোর জন্য একই প্রাথমিকটিকে স্পুফ করে, এটি জনপ্রিয় ডিএনএস ডোমেনগুলি আপোষযুক্ত হোস্টগুলিতে পুনর্নির্দেশ করে।

সুতরাং আপনার সুরক্ষা নিরীক্ষণে ক্যোয়ারী টাইপ AXFR এর প্রতি গভীর মনোযোগ দেওয়া উচিত এবং আপনার ডিএনএস সিস্টেমগুলি কেবলমাত্র নির্দিষ্ট আইপি ঠিকানা থেকে AXFR এক্সচেঞ্জ গ্রহণ করবে।

সানস ইনস্টিটিউট ইনফোসেক রিডিং রুম | sans.org

এটি জর্জের উত্তরের মন্তব্য হিসাবে শুরু হয়েছিল, তবে এটি দীর্ঘ হয়েছে। বৃহত্তর চিত্রটি কিছুটা জটিল, কারণ এর জন্য কিছু ইতিহাস বোঝার প্রয়োজন।

• আরডিএফ 1035 মূলত ইউডিপি খণ্ডন এড়াতে 512 বাইটের সীমাবদ্ধতার আহ্বান জানিয়েছে। ডিএনএস লেনদেনের ওভারহেড হ্রাস করার জন্য ফ্রেগমেন্টযুক্ত ইউডিপি ডেটাগ্রাম এবং টিসিপি সর্বশেষ রিসোর্টের বিকল্প হিসাবে বেছে নেওয়া হয়েছিল। জোন স্থানান্তরগুলি সর্বদা টিসিপি ব্যবহার করে, জোন স্থানান্তরগুলি তাদের স্বভাব অনুসারে> 512 বাইট গ্রহণ করে। (একেবারে ইউডিপি দিয়ে শুরু করা ব্যান্ডউইথের অপচয় হবে)

• কাটা কাটাতে টিসিপি পুনরায় চেষ্টা ব্যাপকভাবে সমর্থিত কারণ এটি 1989 সাল থেকে আরএফসি 1123 - এ নির্দিষ্ট করা হয়েছে ।

• ইডিএনএস (0) আরএফসি 6891 (2013) দ্বারা সংজ্ঞায়িত করা হয়েছে এবং এর আগে 1999 এর প্রস্তাবিত স্ট্যান্ডার্ড হিসাবে উপস্থিত ছিল । এটি এমন একটি ব্যবস্থাকে সংজ্ঞায়িত করে যেখানে ক্লায়েন্ট এবং সার্ভারগুলি ইউডিপি আকারগুলি 512 এর চেয়ে বেশি আকারে আলোচনা করতে পারে E সর্বাধিক প্রায়শই কারণ একটি ধারণা যে 512 বাইটের বেশি ডিএনএস বার্তা অবৈধ, তবে এটি বেশ কয়েকটি মধ্যে একটি।

আমরা যদি পর্যবেক্ষণকৃত আচরণগুলির মধ্যে এটি ছড়িয়ে দিই:

1. DNS অনুসন্ধানগুলি সাধারণত ইউডিপি হিসাবে শুরু হয়, যদি না আগেই জেনে না দেওয়া হয় যে উত্তরটি শুরু করা খুব বড় হবে। (অঞ্চল স্থানান্তর)
2. উত্তর হতে পারে একটি ছেঁটে ফেলা উত্তর দেখা হয় ক্লায়েন্টে একটি TCP পুনরায় চেষ্টা আরম্ভ। এটি মোটামুটিভাবে সমর্থিত।
3. 512 বাইটেরও বেশি একটি ইউডিপি উত্তর দেখা যেতে পারে যদি ক্লায়েন্টটি বড় পেওডের বিজ্ঞাপনের জন্য EDNS (0) ব্যবহার করে এবং প্রাপ্তি সার্ভারটি এটি সমর্থন করে। এটি তখনই ঘটতে পারে যখন দুজনের মধ্যে বসে হার্ডওয়্যার হস্তক্ষেপ না করে এবং ফলস্বরূপ বা ম্যাংলেড প্যাকেটের ফল দেয়।
4. ক্লায়েন্ট কোনও উত্তর না দেখলে একটি ইডিএনএস (0) কোয়েরিটিকে একটি ছোট বিজ্ঞাপনিত পে-লোডের সাথে আবার চেষ্টা করার জন্য নির্বাচন করতে পারে , তবে প্রয়োগের মধ্যে স্পষ্টিকরগুলি পৃথক হতে পারে।
   • এটি লক্ষণীয় যে জবাবটি যা শেষ পর্যন্ত এটির মাধ্যমে তৈরি করা হয় তা অনুরোধ করা আকারের মধ্যে ফিট করার পক্ষে খুব বড় হতে পারে, যার ফলশ্রুতি # 2 উপরের আচরণে আসে। (তোমরা পুরানো টিসিপি আবার চেষ্টা করবে)
   • ক্লায়েন্ট পক্ষের আকারটি মনে রাখতে বেছে নিতে পারে যা শেষ পর্যন্ত একটি সাফল্যের ফলস্বরূপ। এটি এটির পুনরায় অনুসন্ধানের অপ্রয়োজনীয় প্রশ্নের অপচয় করা এড়াতে সহায়তা করে। অন্যথায় এটি করা বেশ অপচয়মূলক হবে, বিশেষত যদি চূড়ান্ত ফলাফলের জন্য টিসিপি ফ্যালব্যাকের প্রয়োজন হয়।

আপনার এও মনে রাখা উচিত যে আরএফসি 66 77 over66 টিসিপি-র মাধ্যমে সংযোগ পুনরায় ব্যবহারের অনুমতি দেয় এবং বুনো টিসিপি-র মাধ্যমে ক্যোয়ারী পাইপলাইনের মুখোমুখি হওয়া সম্ভব। কিছু টিসিপি টিসিপি সেশনে প্রথম দেখা ছাড়িয়ে ডিএনএসের অনুসন্ধানগুলি সনাক্ত করে না , ড্যানস্ক্যাপ এর উদাহরণ হিসাবে দেখা যায়।

সেখানে হয় জন্য RFC 7766, TCP উপর ডিএনএস পরিবহণ - বাস্তবায়ন আবশ্যকতা ।

1. ভূমিকা

সর্বাধিক ডিএনএস [ আরএফসি 1034 ] লেনদেন ইউডিপি [ আরএফসি 768 ] এর মধ্যে হয়। বিভিন্ন TCP [ RFC793 ] সবসময় পূর্ণ জোন স্থানান্তর (AXFR ব্যবহার করে) জন্য ব্যবহার করা হয় এবং প্রায়ই বার্তা যার মাপ ডিএনএস প্রটোকল মূল 512-বাইট সীমা অতিক্রম জন্য ব্যবহৃত হয়। ডিএনএস সিকিউরিটি (ডিএনএসএসইসি) এবং আইপিভি 6 এর ক্রমবর্ধমান স্থাপনা প্রতিক্রিয়া আকার এবং তাই টিসিপি ব্যবহার বৃদ্ধি করেছে। টিসিপি ব্যবহার বৃদ্ধির প্রয়োজনীয়তাও এটিকে সুরক্ষিতভাবে সুরক্ষা প্রদান করে এবং তাই প্রতিচ্ছবি / প্রশস্তকরণের আক্রমণে ডিএনএসের শোষণের বিরুদ্ধে সরবরাহ করে। এটি এখন রেসপন্স রেট সীমাবদ্ধকরণ [ আরআরএল 1 ] [ আরআরএল 2 ] এ ব্যাপকভাবে ব্যবহৃত হয় । অতিরিক্তভাবে, [ DNS- ওভার-টিএলএস-এর মতো DNS গোপনীয়তার সমাধানগুলিতে সাম্প্রতিক কাজ] ডিএনএস-ওভার-টিসিপি প্রয়োজনীয়তাগুলি পুনর্বিবেচনা করার আরেকটি প্রেরণা।

[আরএফসি 1123] এর 6.1.3.2 বিভাগে বলা হয়েছে:

  DNS resolvers and recursive servers MUST support UDP, and SHOULD
  support TCP, for sending (non-zone-transfer) queries.

যাইহোক, কিছু প্রয়োগকারীরা উপরে উদ্ধৃত পাঠ্যটির অর্থ গ্রহণ করেছেন যে টিসিপি সমর্থনটি ডিএনএস প্রোটোকলের একটি alচ্ছিক বৈশিষ্ট্য।

বেশিরভাগ ডিএনএস সার্ভার অপারেটর ইতিমধ্যে টিসিপি সমর্থন করে এবং বেশিরভাগ সফ্টওয়্যার বাস্তবায়নের জন্য ডিফল্ট কনফিগারেশনটি টিসিপি সমর্থন করে। এই নথির প্রাথমিক শ্রোতা হলেন সেই প্রয়োগকারীরা, যাদের টিসিপি-র জন্য সীমাবদ্ধ সমর্থন আন্তঃব্যবযোগিতা সীমাবদ্ধ করে এবং নতুন ডিএনএস বৈশিষ্ট্য স্থাপনে বাধা দেয়।

এই ডকুমেন্টটি মূল ডিএনএস প্রোটোকল স্পেসিফিকেশন আপডেট করে যেমন টিসিপি সমর্থন করে এরপরে একটি সম্পূর্ণ ডিএনএস প্রোটোকল প্রয়োগের একটি প্রয়োজনীয় অংশ।

টিসিপি ( পরিশিষ্ট এ দেখুন ) এর বর্ধিত ব্যবহারের বিভিন্ন সুবিধা এবং অসুবিধাগুলি পাশাপাশি বাস্তবায়নের বিশদ যা বিবেচনা করা দরকার are এই নথিটি এই সমস্যাগুলিকে সম্বোধন করে এবং টিএনসিপিকে ডিএনএসের জন্য একটি বৈধ পরিবহন বিকল্প হিসাবে উপস্থাপন করে। এটি ডিএনএসে এবং অন্যান্য ইন্টারনেট প্রোটোকলগুলিতে টিসিপি প্রয়োগ, গবেষণা, গবেষণা এবং বাস্তবায়ন থেকে নেওয়া অতিরিক্ত বিবেচনা এবং পাঠ সহ, [ আরএফসি 5966 ] এর বিষয়বস্তু প্রসারিত করে ।

এই ডকুমেন্টটি ডিএনএস সার্ভারগুলির অপারেটরদের পূরণের জন্য কোনও নির্দিষ্ট প্রয়োজনীয়তা তৈরি করে না, তবে এটি অপারেটরদের তাদের সার্ভার এবং নেটওয়ার্কে টিসিপি-র সমর্থন সর্বোত্তম কিনা তা নিশ্চিত করতে সহায়তা করার জন্য কিছু পরামর্শ দেয়। এটি লক্ষ করা উচিত যে টিসিপি সমর্থন করতে ব্যর্থতা (বা নেটওয়ার্ক স্তরে টিসিপির মাধ্যমে ডিএনএসকে ব্লক করা) সম্ভবত রেজোলিউশন ব্যর্থতা এবং / অথবা অ্যাপ্লিকেশন-স্তরের সময়সীমা অতিক্রম করবে।

আপনার কোনও দিক থেকে টিসিপি / 53 ফিল্টার করা উচিত নয়। উদাহরণস্বরূপ, nsupdateঅনুরোধটি খুব বড় হওয়ার সাথে সাথে কোয়েরিগুলি টিসিপি ব্যবহার করতে পারে (যা দ্রুত ঘটতে পারে)। সুতরাং আপনার পোর্ট 53 (আইপিভি 4 এবং ভি 6 এ!) এর জন্য ইউডিপি এবং টিসিপি সমস্ত দিক দিয়ে প্রবাহিত করা উচিত।

এছাড়াও টিএনএস নিয়ে ডিএনএসের দিকে আরও বেশি কাজ করা হচ্ছে, সুতরাং উভয় দিকেই টিসিপি লাগবে। আরএফসি 7858 দেখুন।