DNS 포트 안내: 포트 53의 이름 확인

클라이언트가 도메인에 도달해야 할 때 확인자에게 A, AAAA, CNAME, MX, TXT, NS 또는 SRV와 같은 레코드를 요청합니다. 확인자는 레코드를 찾을 때까지 캐시에서 응답하거나 루트, TLD 및 권한 있는 서버를 통해 DNS 계층 구조를 탐색할 수 있습니다.

대부분의 클라이언트 쿼리는 요청과 응답이 작기 때문에 UDP 포트 53을 사용합니다. 응답이 너무 크거나, 잘림이 발생하거나, DNSSEC가 응답 크기를 늘리거나, 서버가 영역 전송 및 안정적인 스트림이 필요한 기타 작업을 수행하는 경우 DNS는 TCP로 전환할 수 있습니다.

UDP 53은 일상적인 DNS 확인을 위한 일반적인 경로입니다. 이를 차단하면 일반적으로 일반 조회가 중단됩니다. TCP 53은 완전한 DNS 배포를 위한 선택 사항이 아닙니다. TCP 53은 대규모 응답, 잘린 UDP 응답의 대체, DNSSEC가 많은 응답 및 인증된 서버 간의 영역 전송을 지원합니다.

UDP 53은 허용하지만 TCP 53은 차단하는 방화벽 규칙으로 인해 진단하기 어려운 간헐적인 오류가 발생할 수 있습니다. 작은 레코드는 작동할 수 있지만 더 큰 DNSSEC, TXT 또는 메일 관련 응답은 실패합니다.

권한 있는 DNS 서버는 귀하가 제어하는 도메인에 대한 기록을 게시합니다. 공개 영역을 제공할 때 인터넷을 통해 연결할 수 있어야 하지만 해당 영역에 대해서만 신뢰할 수 있는 응답을 제공해야 하며 개방형 재귀를 제공해서는 안 됩니다.

재귀 확인자는 클라이언트에 대한 조회를 수행합니다. 공용 재귀 확인자는 해당 역할을 위해 설계되고 보호되어야 합니다. 내부 확인자는 일반적으로 신뢰할 수 있는 네트워크, VPN 클라이언트 또는 특정 애플리케이션 환경에 대해서만 응답해야 합니다.

공개 영역을 호스팅하는 권한 있는 DNS 서버를 위해 인터넷에 포트 53을 엽니다. UDP와 TCP를 모두 고려해야 합니다. 서버가 내부 전용인 경우 이름 확인이 필요한 네트워크에 대한 액세스를 제한합니다.

속도 제한, 남용 모니터링 및 용량 계획을 통해 공개 확인자를 의도적으로 운영하지 않는 한 전체 인터넷에 재귀 확인자를 노출하지 마십시오. 개방형 리졸버는 일반적으로 반사 및 증폭 공격에 남용됩니다.

포트 53을 허용하기 전에 서버가 권한이 있는지, 재귀적인지, 전달하는지, 캐싱인지, 수평 분할인지 결정하세요. 이를 사용해야 하는 클라이언트, 서비스를 제공하는 영역, 재귀 활성화 여부, 영역 전송이 승인된 보조 서버로 제한되는지 확인하세요.

포트 검사기는 포트 53에 연결할 수 있는지 확인할 수 있지만 DNS 정확성에는 프로토콜 수준 테스트가 필요합니다. dig, nslookup, 드릴 또는 확인자 로그를 사용하여 레코드 답변, 재귀 정책, TCP 대체, DNSSEC 동작 및 응답 시간을 확인하세요.

Windows Server에서 DNS 서버 역할은 Active Directory 통합 영역, 내부 레코드 및 전달 규칙을 제공할 수 있습니다. 특히 서버에 공용 인터페이스가 있는 경우 재귀 및 영역 전송을 신중하게 제한하세요.

Linux에서 일반적인 DNS 서버에는 BIND, Unbound, PowerDNS, Knot DNS, CoreDNS 및 dnsmasq가 포함됩니다. UDP 및 TCP 53에 대한 수신 인터페이스, 재귀 정책, 허용된 클라이언트, 권한 있는 영역, 로깅 및 방화벽 규칙을 구성합니다.

클라우드 플랫폼에서 관리형 DNS는 공급자가 애니캐스트, 확장 및 기본 DDoS 복원력을 처리하므로 공용 권한 영역에 대해 더 안전한 경우가 많습니다. 자체 호스팅 DNS에는 여전히 중복 인스턴스, 모니터링 및 명확한 네트워크 정책이 필요합니다.

검증해야 하는 항목에 따라 UDP 또는 TCP 53에 대한 외부 포트 검사부터 시작하세요. 그런 다음 대상 확인자에 대해 dig @server example.com A, dig @server example.com AAAA 또는 nslookup을 실행하여 실제 DNS 응답을 확인합니다.

dig +tcp @server example.com TXT 또는 다른 대규모 응답을 사용하여 명시적으로 TCP를 테스트합니다. 권한 있는 서버의 경우 네트워크 외부에서 레코드를 쿼리하고 재귀가 거부되는지 확인하세요. 재귀 확인자의 경우 허용된 소스 네트워크와 허용되지 않는 소스 네트워크 모두에서 쿼리합니다.

포트 53이 닫히면 DNS 서비스가 중지되거나, 잘못된 인터페이스에서 수신 대기하거나, 호스트 방화벽에 의해 차단되거나, 클라우드 보안 그룹에 의해 제한될 수 있습니다. UDP는 신뢰할 수 없는 것처럼 보이지만 TCP는 작동하는 경우 MTU, 조각화, 응답 크기, EDNS 설정 및 DNSSEC 관련 동작을 검사하십시오.

포트가 열려 있지만 조회가 실패하는 경우 영역 데이터, 위임, 글루 레코드, SOA 및 NS 레코드, 재귀 정책, 전달자, DNSSEC 유효성 검사, 캐시 상태 및 로그를 확인하세요. DNS 오류는 원시 포트 연결 가능성보다는 정책이나 영역 구성으로 인해 발생하는 경우가 많습니다.

실수로 개방형 재귀 확인자를 실행하지 마십시오. 신뢰할 수 있는 클라이언트로 재귀를 제한하고, 알려진 보조 서버로 영역 전송을 제한하고, DNS 소프트웨어 패치를 유지하고, 쿼리 속도, NXDOMAIN 스파이크, SERVFAIL 스파이크 및 비정상적인 소스 네트워크를 모니터링합니다.

공개적으로 신뢰할 수 있는 DNS의 경우 중복 서버, 적절한 경우 DNSSEC를 사용하고, 운영 유연성을 위해 충분히 짧은 TTL을 사용하고, 영역 변경에 대한 명확한 소유권을 사용하십시오. 내부 DNS의 경우 인프라 이름과 개인 토폴로지를 공개하는 경우가 많으므로 수평 분할 레코드를 보호하세요.