我花了一些时间研究这个话题,似乎找不到确切的答案,所以我相当有信心它不是重复的,虽然我的问题是基于安全需要,但我认为它仍然是安全的在这里问,但如果我需要将其转移到安全社区,请告诉我。
本质上,DNS 查询是否曾经使用 TCP(如果是,会发生什么情况)?同样,我只是在谈论查询。它们是否可以通过 TCP 传输?如果域的最大长度只能为 253 个字节,而 UDP 数据包的最大长度为 512 个字节,那么查询不会总是以 UDP 的形式发出吗?我不认为可解析的查询大到需要使用 TCP。如果 DNS 服务器收到对大于 253 字节的域的请求,服务器会丢弃它/不尝试解析它吗?我确定我在这里做了一些错误的假设。
在某些情况下,我正在与安全组合作将 DNS 查询加载到他们的安全监控工具中,出于各种原因,我们决定通过 DNS 服务器和域控制器上的标准数据包捕获来捕获此流量。核心要求是捕获所有 DNS 查询,以便他们可以识别尝试解析任何给定域的客户端。基于此要求,我们不关心捕获 DNS 响应或其他流量(如区域传输),这也是由我们需要尽可能限制日志量这一事实驱动的。因此,我们计划仅捕获发往 DNS 服务器并通过 UDP 发送的 DNS 查询。对于更多上下文(这里的问题范围正在蔓延),现在有人提出我们可能需要扩展安全性” s 可见性,因此他们可以监视活动,例如通过 DNS 运行的隐蔽通道(这也需要捕获 DNS 响应,以及随后的 TCP 流量)。但即使在那种情况下,我认为任何出站 DNS 流量都将采用查找/查询的形式,并且这些流量始终通过 UDP,即使来自恶意来源(因为我在第一段中的推理)。所以这带来了一些额外的问题:
我们至少会用我概述的方法捕获一半的对话吗?或者客户端是否会发送非查询形式的 DNS 流量?(也许就像对 DNS 服务器响应的某种回复,最终可能会通过 TCP 发送出去)
是否可以修改 DNS 查询以使用 TCP?DNS 服务器会接受并响应来自 TCP 的 DNS 查询吗?
不确定它是否相关,但我们确实将 DNS 请求限制为授权的 DNS 服务器并阻止所有其他通过端口 53 出站的流量。我绝对是一个菜鸟,所以如果我的问题不合规,我很抱歉,并让我知道我应该如何修改。