[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:0492] Re: DNSが使用するTCPのPort53の取り扱いについて
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:0492] Re: DNSが使用するTCPのPort53の取り扱いについて
- From: Tietew <tietew@xxxxxxxxxx>
- Date: Fri, 26 Oct 2001 14:05:16 +0900
Tietew です。
On Fri, 26 Oct 2001 01:21:22 +0900
In article <20011025233755.F0E9.Y-SHIN@xxxxxxxxxxxxxxxxxx>
[[connect24h:0482] DNSが使用するTCPのPort53の取り扱いについて]
Shinichi Yamanaka <y-shin@xxxxxxxxxxxxxxxxxx> wrote:
> [connect24h:0450] Re: DNS設定
> > 外から DNS が引けないですが,パケットをフィルタしてたりしません?
> > Port53 は TCP/UDP 共に開けておく必要がありますよ。
の投稿者ですが… (^^ゞ
> 名前解決で使用するのは、通常UDPのポート53番だけだと思うのですが・・・
>
> データの一部がUDPの転送中に失われた場合、TCPを使って再検索される場合が
> あるらしいと言うのを、どこかのホームページで見たことがあります。
> 実際フィルタリングでTCPのポート53番はセカンダリからの問合せのみを許可してあと
> は全て弾いています。
> 半年以上これで運用しています。
言葉が足りなかったのは認めますが,私もそのつもりで言いました。
というか,私自身 djbdns なのでそもそも UDP でしか問い合わせを受
け付けませんが。(TCP 53 は axfrdns/tcpserver でセカンダリのみに
アクセス制御している)
> その弾いたログを見ていると、ほとんどが
> 1)複数のホストへのポートスキャンである
> 2)数十秒の間に複数のIPアドレスから単一ホストへのアクセス(アタック?)
> と、普通では考えられないようなログがほとんどです。
> 1)については、今年初めに騒がれたbindのセキュリティホールをつくアタックか
> と思います。
> 2)については、チョットわかりません。(わかる人がいましたら教えていただき
> たいです。)
そうですね,axfrdns の deny ログは変なのばっかです。
> ごくたまに、TCPを使っての再検索と思われるログがありますが、これは全体の
> 数%程度で、全てはチェックしていませんがIPアドレスの逆引きがほとんど
> 出来ないところからです。ネットワークの構成上ありえるとは思いますが・・・
>
> で、DNSの問合せの件数が少ないところだと、TCPのポート53番はセカンダリから
> の問合せのみを許可して、あとは全て弾いてしまった方がセキュリティ上好まし
> いと思うのですが、どうでしょうか。
BIND だとたくさん Additional Record を付けるので UDP パケットに
収まらないことがありそうですが,djbdns は必要最小限しか
Additional を付けないので UDP しかサービスしなくてもいいのかな,
と勝手に思っています。(そういうニュアンスの表現が djbdns のサイ
トにあるし)
―[ Tietew ]――――――――――――――――――――――――――
メ : tietew@xxxxxxxxxx / tietew@xxxxxxxx / tietew@xxxxxxxxxxxx
ホペ: http://www.tietew.net/ Tietew Windows Lab.
http://www.masuclub.net/ 鱒倶楽部
指紋: 26CB 71BB B595 09C4 0153 81C4 773C 963A D51B 8CAA
--[PR]------------------------------------------------------------------
【FreeMLからのお知らせ】
ユーザー登録すると、MyPageっていうとっても便利なページが使えるように
なります。
例えば、MLの過去ログが見られたり、アドレス変更も簡単に行えます。
http://www.freeml.com/reg_member1.php
------------------------------------------------------------------[PR]--