[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:0492] Re: DNSが使用するTCPのPort53の取り扱いについて

Tietew です。

On Fri, 26 Oct 2001 01:21:22 +0900
In article <20011025233755.F0E9.Y-SHIN@xxxxxxxxxxxxxxxxxx>
[[connect24h:0482] DNSが使用するTCPのPort53の取り扱いについて]
Shinichi Yamanaka <y-shin@xxxxxxxxxxxxxxxxxx> wrote:

> [connect24h:0450] Re: DNS設定
> > 外から DNS が引けないですが,パケットをフィルタしてたりしません?
> > Port53 は TCP/UDP 共に開けておく必要がありますよ。

の投稿者ですが… (^^ゞ

> 名前解決で使用するのは、通常UDPのポート53番だけだと思うのですが・・・
> 
> データの一部がUDPの転送中に失われた場合、TCPを使って再検索される場合が
> あるらしいと言うのを、どこかのホームページで見たことがあります。
> 実際フィルタリングでTCPのポート53番はセカンダリからの問合せのみを許可してあと
> は全て弾いています。
> 半年以上これで運用しています。

言葉が足りなかったのは認めますが,私もそのつもりで言いました。
というか,私自身 djbdns なのでそもそも UDP でしか問い合わせを受
け付けませんが。(TCP 53 は axfrdns/tcpserver でセカンダリのみに
アクセス制御している)

> その弾いたログを見ていると、ほとんどが
> 1)複数のホストへのポートスキャンである
> 2)数十秒の間に複数のIPアドレスから単一ホストへのアクセス(アタック?)
> と、普通では考えられないようなログがほとんどです。
> 1)については、今年初めに騒がれたbindのセキュリティホールをつくアタックか
> と思います。
> 2)については、チョットわかりません。(わかる人がいましたら教えていただき
> たいです。)

そうですね,axfrdns の deny ログは変なのばっかです。

> ごくたまに、TCPを使っての再検索と思われるログがありますが、これは全体の
> 数%程度で、全てはチェックしていませんがIPアドレスの逆引きがほとんど
> 出来ないところからです。ネットワークの構成上ありえるとは思いますが・・・
> 
> で、DNSの問合せの件数が少ないところだと、TCPのポート53番はセカンダリから
> の問合せのみを許可して、あとは全て弾いてしまった方がセキュリティ上好まし
> いと思うのですが、どうでしょうか。

BIND だとたくさん Additional Record を付けるので UDP パケットに
収まらないことがありそうですが,djbdns は必要最小限しか 
Additional を付けないので UDP しかサービスしなくてもいいのかな,
と勝手に思っています。(そういうニュアンスの表現が djbdns のサイ
トにあるし)


―[ Tietew ]――――――――――――――――――――――――――
 メ : tietew@xxxxxxxxxx / tietew@xxxxxxxx / tietew@xxxxxxxxxxxx
ホペ: http://www.tietew.net/     Tietew Windows Lab.
      http://www.masuclub.net/   鱒倶楽部
指紋: 26CB 71BB B595 09C4 0153  81C4 773C 963A D51B 8CAA



--[PR]------------------------------------------------------------------
【FreeMLからのお知らせ】
 ユーザー登録すると、MyPageっていうとっても便利なページが使えるように
 なります。
 例えば、MLの過去ログが見られたり、アドレス変更も簡単に行えます。
         http://www.freeml.com/reg_member1.php
------------------------------------------------------------------[PR]--