Domain-Name-System
為什麼大學會阻止目標埠為 53 的傳入 UDP 流量?
據我了解,DNS 使用 UDP 和埠 53。如果傳入 UDP 數據包到埠號 53 沒有被阻止,會發生什麼不良情況?
更新:數據包源自或發往大學運營的本地 DNS 伺服器或大學運營的權威 DNS 伺服器將被允許。
邏輯是這樣工作的:
- 只有向 Internet 提供記錄的權威 DNS 伺服器才需要公開。
- 暴露在網際網路上的開放遞歸伺服器將不可避免地被網路掃描發現並被濫用。(見user1700494的回答)
- 有人意外啟動暴露的遞歸伺服器的可能性大於暴露的權威 DNS 伺服器。這是因為許多設備和“開箱即用”配置預設允許無限制遞歸。權威配置更加定制化並且很少遇到。
- 給定 1-3,丟棄目標埠為 53 的所有未經請求的入站流量可以保護網路。在極少數情況下需要將另一個權威 DNS 伺服器添加到網路中(計劃事件),可以根據需要定義例外情況。