为什么大学会阻止目标端口为 53 的传入 UDP 流量？

Question

根据我的理解，DNS 使用 UDP 和端口 53。如果未阻止传入端口号 53 的 UDP 数据包，会发生什么不良情况？

更新：将允许来自或发往大学运营的本地 DNS 服务器或大学运营的权威 DNS 服务器的数据包。

Answer 1

逻辑是这样的：

1. 只需要公开向 Internet 提供记录的权威 DNS 服务器。
2. 暴露在互联网上的开放递归服务器不可避免地会被网络扫描发现并被滥用。（见user1700494的回答）
3. 有人意外地建立暴露的递归服务器的可能性大于暴露的权威 DNS 服务器的可能性。这是因为许多设备和“开箱即用”配置默认允许无限制递归。权威配置更加定制化并且很少遇到。
4. 给定 1-3，丢弃目标端口为 53 的所有未经请求的入站流量可以保护网络。在需要将另一个权威 DNS 服务器添加到网络中的罕见事件（计划事件）中，可以根据需要定义例外情况。

Answer 2

例如，攻击者可以使用大学的 DNS 服务器作为DNS 放大 DDoS 攻击的中转主机

Answer 3

安德鲁 B 的回答非常好。他说的话。

回答“如果未阻止到端口号 53 的传入 UDP 数据包会发生什么不良情况？”的问题。更具体地说，我在谷歌上搜索了“基于 DNS 的攻击”并得到了这篇方便的文章。转述：

1. 分布式反射 DoS 攻击
2. 缓存中毒
3. TCP SYN 泛洪
4. DNS隧道
5. DNS劫持
6. 基本的 NXDOMAIN 攻击
7. 幻域攻击
8. 随机子域攻击
9. 域锁定攻击
10. 来自 CPE 设备的基于僵尸网络的攻击

这不是可能的基于 DNS 的攻击的决定性列表，只是一篇文章发现值得一提的十种攻击。

说真的，简短的回答是：“如果你不做有揭露它，不要。”