J'ai passé un peu de temps à chercher ce sujet et je n'arrive pas à trouver une réponse exacte. Je suis donc assez confiant que ce n'est pas un doublon. Bien que ma question soit basée sur un besoin de sécurité, je pense que c'est toujours sans danger. demandez ici, mais laissez-moi savoir si je dois le déplacer la communauté de la sécurité.
Essentiellement, les requêtes DNS utilisent-elles déjà le protocole TCP (le cas échéant, quel scénario pourrait-il se produire)? Encore une fois, je ne parle que de requêtes. Est-il possible pour eux de voyager sur TCP? Si les domaines ne peuvent avoir qu'une longueur maximale de 253 octets et que les paquets UDP peuvent atteindre 512 octets, les requêtes ne seront-elles pas toujours envoyées en tant que UDP? Je ne pensais pas qu'une requête résolvable pouvait être assez grosse pour nécessiter l'utilisation de TCP. Si un serveur DNS reçoit une demande pour un domaine de plus de 253 octets, le serveur le laissera-t-il tomber / ne tentera-t-il pas de le résoudre? Je suis certain que j'ai fait de fausses hypothèses ici.
Dans certains cas, je collabore avec le groupe de sécurité pour intégrer des requêtes DNS à leur outil de surveillance de la sécurité. Pour diverses raisons, nous avons décidé de capturer ce trafic via une capture de paquets standard sur des serveurs DNS et des contrôleurs de domaine. La principale exigence est de capturer toutes les requêtes DNS afin qu'elles puissent identifier quel client a tenté de résoudre un domaine donné. Sur la base de cette exigence, nous ne sommes pas concernés par la capture des réponses DNS ou d’autres types de trafic, tels que les transferts de zone, car nous devons également limiter le plus possible le volume des journaux. En tant que tel, nous prévoyons de ne capturer que les requêtes DNS destinées au serveur DNS et envoyées via UDP. Pour plus de contexte (genre de champ de question rampant ici), il a maintenant été évoqué que nous pourrions avoir besoin d'étendre la sécurité ' ■ visibilité afin qu'ils puissent surveiller les activités telles que les canaux cachés fonctionnant sur DNS (ce qui présenterait également le besoin de capturer les réponses DNS, puis le trafic TCP). Mais même dans ce type de scénario, je pensais que tout trafic DNS sortant serait sous forme de recherches / requêtes, et que celles-ci seraient toujours via UDP, même si elles provenaient d'une source malveillante (en raison de mon raisonnement dans le premier paragraphe). Cela soulève donc quelques questions supplémentaires:
Ne pourrions-nous pas au moins capturer la moitié de la conversation avec l'approche que j'ai décrite? Ou un client pourrait-il jamais envoyer du trafic DNS qui ne soit pas sous la forme d'une requête? (peut-être comme une sorte de réponse à la réponse d'un serveur DNS, et finit peut-être par TCP)
Les requêtes DNS peuvent-elles être modifiées pour utiliser TCP? Un serveur DNS accepterait-il et répondrait-il à une requête DNS via TCP?
Nous ne savons pas si cela est pertinent, mais nous limitons les requêtes DNS aux serveurs DNS autorisés et bloquons tout autre trafic sortant sur le port 53. Je suis définitivement un débutant. Je suis donc désolé si ma question n'est pas conforme et informez-moi. comment je devrais modifier.