Trình giải quyết DNS và lọc cổng yêu cầu

Trong các cuộc tấn công khuếch đại DNS trên máy chủ DNS, tôi đã quan sát thấy rằng một số yêu cầu DNS dành cho vài IP/cổng giống như 104.49.96.196:80. Tôi hiểu đây là IP giả mạo, nhưng bạn có thể cân nhắc việc lọc cổng của yêu cầu DNS không? Tôi tin rằng chúng ta không nên mong đợi một cổng> 1023. Đó có phải là một giả định an toàn không? Trong trường hợp đó, tôi tin rằng đây là một chiến thắng dễ dàng để phát hiện và không đáp lại cuộc tấn công khuếch đại DNS (nếu gói đến máy chủ DNS và không bị WAF loại bỏ).

Không, nó không phải là một giả định an toàn.Đừng cố lọc trên các cổng, điều này sẽ không mang lại kết quả hữu ích. Cách máy khách xử lý các cổng cục bộ của nó, đó là công việc kinh doanh của chính nó và do đó, với tư cách là một máy chủ, bạn có thể mong đợi nhận được lưu lượng truy cập từ tất cả các cổng. Sự phân chia Unix tại 1024 là một di sản cổ xưa của quá khứ, về cơ bản ngày nay không còn ý nghĩa gì nữa.

Nếu bạn muốn chống khuếch đại DNS, bên cạnh các biện pháp "tiêu chuẩn" (như đảm bảo rằng bạn thực sự cần xử lý tất cả lưu lượng truy cập mà bạn nhận được, nghĩa là bạn không mở rộng), một trong những cách thường được sử dụng nhất hiện nay là RRL hoặc về cơ bản giới hạn tỷ lệ.

Nhìn vào https://www.infoblox.com/dns-security-resource-center/dns-security-solutions/dns-security-solutions-response-rate-limiting-rrl/ để giới thiệu về chủ đề này và tại https://www.isc.org/docs/DNS-RRL-LISA14.pdf để trình bày kỹ thuật hơn.

Máy khách DNS phải có cổng nguồn > 1023.

Nếu nó < 1024 thì nó chỉ nên là cổng nguồn 53 nếu nó đến từ một số máy chủ DNS khác - nhưng điều đó khó xảy ra.

xác minh với cổng tcpdump 53

Bằng cách nhìn vào RFC6056 và đơn giản hóa với một số mẫu chúng tôi có thể đi xa hơn và nói rằng bất kỳ ngăn xếp IP hoạt động tốt nào cũng không được có (có) cổng nguồn thấp hơn 49152 (cổng tạm thời đầu tiên). Tuy nhiên, phần 3.2 mâu thuẫn với điều này và các mẫu cũng vậy.

Nhưng cho đến khi bất kỳ ai có thể cung cấp tham chiếu đến RFC xác định lại RFC6056, thì có thể nói rằng môn thể thao <= 1023 là không hợp lệ.

Nếu vì lý do nào đó mà yêu cầu không thành công, khách hàng nên thử lại và hy vọng nhận được yêu cầu thành công. (Ngay cả khi điều này không thành công, tôi sẽ bỏ qua những triển khai đó)