我花了一些时间研究这个话题,似乎找不到确切的答案,所以我相当有信心它不是重复的,虽然我的问题是基于安全需要,但我认为它仍然是安全的在这里问,但如果我需要将其转移到安全社区,请告诉我。
本质上,DNS 查询是否曾经使用 TCP(如果是,会发生什么情况)?同样,我只是在谈论查询。它们是否可以通过 TCP 传输?如果域的最大长度只能为 253 个字节,而 UDP 数据包的最大长度为 512 个字节,那么查询不会总是以 UDP 的形式发出吗?我不认为可解析的查询大到需要使用 TCP。如果 DNS 服务器收到对大于 253 字节的域的请求,服务器会丢弃它/不尝试解析它吗?我确定我在这里做了一些错误的假设。
在某些情况下,我正在与安全组合作将 DNS 查询加载到他们的安全监控工具中,出于各种原因,我们决定通过 DNS 服务器和域控制器上的标准数据包捕获来捕获此流量。核心要求是捕获所有 DNS 查询,以便他们可以识别尝试解析任何给定域的客户端。基于此要求,我们不关心捕获 DNS 响应或其他流量(如区域传输),这也是由我们需要尽可能限制日志量这一事实驱动的。因此,我们计划仅捕获发往 DNS 服务器并通过 UDP 发送的 DNS 查询。对于更多上下文(这里的问题范围正在蔓延),现在有人提出我们可能需要扩展安全性” s 可见性,因此他们可以监视活动,例如通过 DNS 运行的隐蔽通道(这也需要捕获 DNS 响应,以及随后的 TCP 流量)。但即使在那种情况下,我认为任何出站 DNS 流量都将采用查找/查询的形式,并且这些流量始终通过 UDP,即使来自恶意来源(因为我在第一段中的推理)。所以这带来了一些额外的问题:
我们至少会用我概述的方法捕获一半的对话吗?或者客户端是否会发送非查询形式的 DNS 流量?(也许就像对 DNS 服务器响应的某种回复,最终可能会通过 TCP 发送出去)
是否可以修改 DNS 查询以使用 TCP?DNS 服务器会接受并响应来自 TCP 的 DNS 查询吗?
不确定它是否相关,但我们确实将 DNS 请求限制为授权的 DNS 服务器并阻止所有其他通过端口 53 出站的流量。我绝对是一个菜鸟,所以如果我的问题不合规,我很抱歉,并让我知道我应该如何修改。
这是一个关于 DNS 地理冗余的规范问题。
众所周知,在提供弹性 Web 服务时,非常需要位于不同物理位置的地理冗余 DNS 服务器。文件BCP 16对此进行了深入介绍,但一些最常提到的原因包括:
防止数据中心灾难。地震发生。机架发生火灾并烧毁附近的服务器和网络设备。如果数据中心的物理问题同时关闭两个 DNS 服务器,即使它们不在同一行,多个 DNS 服务器也不会给您带来多大好处。
防止上游对等问题。如果共享的上游网络对等点小睡,多个 DNS 服务器将无法防止出现问题。无论是上游问题完全使您脱机,还是只是将所有 DNS 服务器与一小部分用户群隔离,最终结果都是即使服务本身位于完全不同的数据中心,人们也无法访问您的域。
这一切都很好,但是如果我在同一个 IP 地址上运行我的所有服务,那么冗余 DNS 服务器真的有必要吗?如果没有人可以访问我的域提供的任何内容,我看不出拥有第二个 DNS 服务器会给我带来什么好处。
我知道这被认为是最佳实践,但这似乎毫无意义!
我知道根据情况它可能会有很大不同,但是对于托管一个没有计划移动托管服务器的网站来说,在 DNS 记录上设置什么 TTL 是好的?
是否可以通过 DHCP 为以太网主机分配仅主机本身的子网掩码,例如 192.168.1.123/32?常见的操作系统是否支持这种配置?
我希望主机将所有流量发送到路由器(而不是直接发送到同一网段上的其他主机),但仍然让它们能够通信(因此没有“客户端隔离”);有效地创建点对点链接,但无需任何客户端配置。
更新:我的目的是配置一个运行 dd-wrt 的家庭路由器,以便所有流量都必须通过路由器上的 IP 堆栈,因此可以通过一些 ipfilter 规则对其进行过滤。我希望有一个通用的解决方案,一种实现点对点以太网连接的标准方法,仍然可以由 DHCP 为所有公共操作系统自动配置。
根据迄今为止的反应,这似乎并不容易。我将阅读有关 VLAN 的更多信息,然后重新考虑我的计划。