Portar

Port 53: DNS

Domain Name System frågor och svar. UDP för de flesta uppslagningar, TCP för överföringar och stora svar.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

Port 53 är standardporten för DNS, och det är ett bra exempel på varför transportprotokollet har lika stor betydelse som portnumret. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. De flesta vardagliga DNS-uppslagningar använder UDP 53: en klient skickar en liten fråga från en tillfällig källport till resolvern på destinationsport 53, och resolvern svarar tillbaka till den källporten.

TCP 53 är också viktigt. Den används när ett svar inte passar i ett enda UDP-meddelande, när tillförlitlighet krävs och för zonöverföringar mellan auktoritativa servrar.

I riktiga nätverk innebär detta att brandväggar ofta måste tillåta både UDP och TCP 53 för resolvers och auktoritativa DNS, även om du bara tänker på den snabba UDP sökvägen. Säkerhetsmässigt kan exponerad DNS missbrukas för informationsinsamling, förstärkningsattacker om rekursion är öppen och som en kontrollkanal när angripare tunnlar data genom DNS-frågor.

Hur det fungerar i stora drag

  1. En klient skickar en fråga till en resolver och ber om en post som A, AAAA eller MX.
  2. Resolvern svarar från cacheminnet eller frågar rekursivt efter auktoritativa servrar och returnerar resultatet.
  3. Om svaret är för stort eller behöver tillförlitlighet faller utbytet tillbaka till TCP för samma port.

Konkret exempel

En webbläsare laddar en webbplats. Den frågar den konfigurerade resolvern för domänen IP över UDP 53. Resolvern returnerar ett cachat svar och webbläsaren ansluter sedan till platsen på 443.

Varför det är viktigt

DNS är grundläggande. Om DNS är felkonfigurerad eller äventyrad, omdirigeras användarna, tjänsterna misslyckas och säkerhetskontrollerna går sönder. I säkerhetsarbete är DNS-trafik också en guldgruva för upptäckt eftersom den visar vad värdar försöker nå och kan avslöja tunnling eller kommando- och kontrollmönster.

Säkerhetsperspektiv

  • Separera rekursiva resolvers från auktoritativa servrar och begränsa vem som kan fråga vad.
  • Använd DNSSEC-validering där så är lämpligt och övervaka för ovanliga frågemönster.
  • Skydda mot förstärkningsmissbruk med hastighetsbegränsande och svarsstorlekskontroller.

Vanliga fallgropar

  • Exponera en auktoritativ DNS-server utan ordentlig härdning eller hastighetsbegränsning.
  • Förutsatt att DNS alltid är UDP och glömmer TCP-baserade överföringar och stora svar.
  • Ignorera delad horisont DNS skillnader mellan interna och externa zoner.