È possibile forzare il client a utilizzare TCP invece UDP per le query DNS?

Naviga le tue risposte
4

Supponiamo che sto gestendo un firewall tra server DNS e client. Esiste un modo per forzare i client a utilizzare TCP anziché UDP, in modo da poter prevenire il tipo di spoofing DNS degli attacchi DDoS?

    
posta ibrahim 18.08.2015 - 13:14
fonte

1 risposta

2

Dovresti leggere Una domanda sui protocolli DNS di Geoff Huston, che è un'indagine reale su questa idea, con statistiche e tutto:

If the DNS represents such a significant vulnerability for the Internet through these UDP-based reflection attacks, then does TCP represent a potential mitigation? Could we realistically contemplate moving away from the ubiquitous use of ENDS0 to support large DNS responses in UDP, and instead use DNS name servers that limit the maximal size of their UDP responses, and turn to TCP for larger responses?

Penso che i punti chiave di quel documento che rispondono alla tua domanda siano:

  • Se il tuo server risponde con risposte UDP parziali con il set di bit "troncato", questo costringerà i client a provare TCP invece
  • Non tutti i client saranno in grado di farlo; Il 2% dei client e il 17% dei resolver non passano a TCP (... a partire dal 2013)

Personalmente , penso che tu stia violando lo spirito di RFC 1123 :

DNS resolvers and recursive servers MUST support UDP, and SHOULD support TCP, for sending (non-zone-transfer) queries.

Non sono sicuro di falsificare UDP solo per convertire le persone fino ai conteggi TCP come supporto UDP. Detto questo, c'è sempre un divario tra RFC e realtà ...

    
risposta data 18.08.2015 - 16:08
fonte

Leggi altre domande sui tag

Qual è il punto debole di MD5 con chiave per l'autenticazione dei messaggi? Raggiungere "la separazione di frequenza" nelle reti wireless