Руководство по порту DNS: разрешение имен на порту 53

Когда клиенту необходимо связаться с доменом, он запрашивает у преобразователя такие записи, как A, AAAA, CNAME, MX, TXT, NS или SRV. Резолвер может отвечать из кэша или проходить по иерархии DNS через корневые, TLD и авторитетные серверы, пока не найдет запись.

Большинство клиентских запросов используют порт UDP 53, поскольку запрос и ответ невелики. DNS может переключиться на TCP, когда ответы слишком велики, когда происходит усечение, когда DNSSEC увеличивает размер ответа или когда серверы выполняют передачу зон и другие операции, требующие надежного потока.

UDP 53 — это общий путь для повседневного разрешения DNS. Блокировка обычно нарушает нормальный поиск. TCP 53 не является обязательным для полного развертывания DNS: он поддерживает большие ответы, откат от усеченных ответов UDP, ответы с большим количеством DNSSEC и передачу зон между авторизованными серверами.

Правило брандмауэра, которое разрешает UDP 53, но блокирует TCP 53, может создавать периодические сбои, которые трудно диагностировать. Небольшие записи могут работать, в то время как более крупные ответы DNSSEC, TXT или почты не работают.

Авторитетный DNS-сервер публикует записи для контролируемых вами доменов. Он должен быть доступен через Интернет, когда обслуживает общедоступные зоны, но он должен отвечать только авторитетно для этих зон и не должен обеспечивать открытую рекурсию.

Рекурсивный преобразователь выполняет поиск клиентов. Публичные рекурсивные преобразователи должны быть спроектированы и защищены для этой роли. Внутренние преобразователи обычно должны отвечать только за доверенные сети, VPN-клиенты или определенные среды приложений.

Откройте порт 53 в Интернете для авторитетных DNS-серверов, на которых размещаются общедоступные зоны. Следует учитывать как UDP, так и TCP. Если сервер является только внутренним, ограничьте доступ к сетям, которым требуется разрешение имен.

Не открывайте рекурсивный преобразователь для всего Интернета, если только вы намеренно не используете общедоступный преобразователь с ограничением скорости, мониторингом злоупотреблений и планированием мощности. Открытые резолверы обычно используются для атак с отражением и усилением.

Прежде чем разрешить порт 53, решите, является ли сервер авторитетным, рекурсивным, пересылающим, кэширующим или с разделенным горизонтом. Подтвердите, какие клиенты должны его использовать, какие зоны он обслуживает, включена ли рекурсия и ограничена ли передача зон авторизованными вторичными серверами.

Средство проверки портов может подтвердить, что порт 53 доступен, но корректность DNS требует проверки на уровне протокола. Используйте журналы dig, nslookup, детализации или преобразователя для проверки ответов на записи, политики рекурсии, резервного TCP, поведения DNSSEC и времени ответа.

В Windows Server роль DNS-сервера может обслуживать зоны, интегрированные в Active Directory, внутренние записи и правила пересылки. Тщательно ограничивайте рекурсию и передачу зон, особенно если сервер имеет какой-либо общедоступный интерфейс.

В Linux распространенными DNS-серверами являются BIND, Unbound, PowerDNS, Knot DNS, CoreDNS и dnsmasq. Настройте интерфейсы прослушивания, политику рекурсии, разрешенных клиентов, авторитетные зоны, ведение журнала и правила брандмауэра для UDP и TCP 53.

На облачных платформах управляемый DNS зачастую безопаснее для общедоступных авторитетных зон, поскольку поставщик обеспечивает произвольную рассылку, масштабирование и базовую устойчивость к DDoS-атакам. Самостоятельный DNS по-прежнему нуждается в резервных экземплярах, мониторинге и четкой сетевой политике.

Начните с проверки внешнего порта на наличие UDP или TCP 53, в зависимости от того, что вам нужно проверить. Затем запустите dig @server example.com A, dig @server example.com AAAA или nslookup для целевого преобразователя, чтобы подтвердить реальные ответы DNS.

Проверьте TCP напрямую с помощью dig +tcp @server example.com TXT или другого большого ответа. Для авторитетных серверов запросите записи извне вашей сети и убедитесь, что рекурсия отклонена. Для рекурсивных преобразователей запросы выполняются как из разрешенных, так и из запрещенных исходных сетей.

Если порт 53 закрыт, служба DNS может быть остановлена, прослушивать неправильный интерфейс, заблокирована брандмауэром узла или ограничена группой облачной безопасности. Если UDP кажется ненадежным, но TCP работает, проверьте MTU, фрагментацию, размер ответа, настройки EDNS и поведение, связанное с DNSSEC.

Если порт открыт, но поиск не выполнен, проверьте данные зоны, делегирование, склеивающие записи, записи SOA и NS, политику рекурсии, серверы пересылки, проверку DNSSEC, состояние кэша и журналы. Сбои DNS часто возникают из-за конфигурации политики или зоны, а не из-за необработанной доступности порта.

Не запускайте открытый рекурсивный преобразователь случайно. Ограничьте рекурсию доверенным клиентам, ограничьте передачу зон на известные вторичные серверы, постоянно обновляйте программное обеспечение DNS и отслеживайте частоту запросов, всплески NXDOMAIN, всплески SERVFAIL и необычные исходные сети.

Для общедоступного авторитетного DNS используйте резервные серверы, DNSSEC, где это необходимо, достаточно короткие TTL для обеспечения эксплуатационной гибкости и четкое право собственности на изменения зон. Для внутреннего DNS защищайте записи с разделенным горизонтом, поскольку они часто раскрывают имена инфраструктуры и частную топологию.