[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:0482] DNSが使用するTCPのPort53の取り扱いについて

山中と申します。
このMLには、初めての投稿かと思いますがよろしくお願いします。

現在、DNSの設定でかなり盛り上がっていますが。
新スレッドで少し便乗質問させて下さい。

[connect24h:0450] Re: DNS設定
> 外から DNS が引けないですが,パケットをフィルタしてたりしません?
> Port53 は TCP/UDP 共に開けておく必要がありますよ。

名前解決で使用するのは、通常UDPのポート53番だけだと思うのですが・・・

データの一部がUDPの転送中に失われた場合、TCPを使って再検索される場合が
あるらしいと言うのを、どこかのホームページで見たことがあります。
実際フィルタリングでTCPのポート53番はセカンダリからの問合せのみを許可してあと
は全て弾いています。
半年以上これで運用しています。

その弾いたログを見ていると、ほとんどが
1)複数のホストへのポートスキャンである
2)数十秒の間に複数のIPアドレスから単一ホストへのアクセス(アタック?)
と、普通では考えられないようなログがほとんどです。
1)については、今年初めに騒がれたbindのセキュリティホールをつくアタックか
と思います。
2)については、チョットわかりません。(わかる人がいましたら教えていただき
たいです。)

ごくたまに、TCPを使っての再検索と思われるログがありますが、これは全体の
数%程度で、全てはチェックしていませんがIPアドレスの逆引きがほとんど
出来ないところからです。ネットワークの構成上ありえるとは思いますが・・・

で、DNSの問合せの件数が少ないところだと、TCPのポート53番はセカンダリから
の問合せのみを許可して、あとは全て弾いてしまった方がセキュリティ上好まし
いと思うのですが、どうでしょうか。


-- 
Shinichi Yamanaka <y-shin@xxxxxxxxxxxxxxxxxx>



--[PR]------------------------------------------------------------------
【FreeML MyCheckユーザー様へのお知らせ】
 日頃より弊社MLおよびMyCheckサービスをご利用頂き有り難うございます。
 2001年10月15日より、MyCheckカテゴリ名称等が変更致しました。
 お手数ですが、MyPageにログインして頂き、登録内容をご確認下さい。
   MyPageへのログインは → http://ad.freeml.com/cgi-bin/ad.cgi?id=a5Rg8
------------------------------------------------------------------[PR]--