Dar*_*ves 1 domain-name-system linux
我运行一个服务器,其中使用 tinydns 作为 DNS 和 axfrdns 来处理来自我们的辅助 DNS(另一个系统)的传输请求。我知道 tinydns 在 UDP 上使用端口 53,而 axfrdns 在 TCP 上使用端口 53。
我已将 axfrdns 配置为仅允许来自我同意的辅助主机的连接。我运行 logcheck 来监控我的日志,每天我都会看到来自看似随机的主机在端口 53 (TCP) 上的虚假连接。它们通常来自 ADSL 连接。
我的问题是;这些是无辜的请求还是安全风险?我很高兴使用 iptables 阻止重复犯罪者,但不想阻止我托管的网站之一的无辜用户。
谢谢,达伦。
Aln*_*tak 10
TCP是不是只用于区域传送。
如果您的 DNS 服务器曾经发回截断的 (TC=1) UDP 响应,则 TCP 是 DNS 客户端使用的默认回退。如果您在单个数据包中提供超过 512 字节的任何数据,就会发生这种情况。
如果您正在运行 DNS 服务器,那么它应该接受来自 DNS 客户端的 TCP 连接,并且这样做没有固有的安全风险。针对 DNS 服务器的 DoS 攻击风险很小,但任何面向公众的服务都是如此。
请参阅应在下个月内作为 RFC 发布的Draft-ietf-dnsext-dns-tcp-requirements。
有关更多详细信息,请参阅RFC 5966。
Ob 免责声明 - 我写了那个 RFC。