大学为什么会用目标端口53阻止传入的UDP流量？

据我了解，DNS使用UDP和端口53。如果不阻止到端口53的传入UDP数据包，会发生什么不良情况？

更新：将允许数据包起源或发往大学运营的本地DNS服务器或大学运营的权威DNS服务器。

逻辑如下所示：

1. 只需要公开向互联网提供记录的权威DNS服务器。
2. 暴露于Internet的开放式递归服务器将不可避免地被网络扫描发现并被滥用。（请参阅user1700494的答案）
3. 某人无意中站了一个公开的递归服务器的可能性大于一个公开的权威DNS服务器的可能性。这是因为许多设备和“开箱即用”配置默认情况下允许无限制的递归。权威配置更加定制化，很少遇到。
4. 给定1-3，丢弃目标端口为53的所有未经请求的入站流量可保护网络。在极少数需要将其他权威DNS服务器添加到网络的情况下（计划中的事件），可以根据需要定义例外。

例如，攻击者可以使用大学的DNS服务器作为DNS放大DDoS攻击的中转主机

安德鲁·B的答案是非常好的。他说什么。

回答问题“如果不阻止进入端口号53的UDP数据包，会发生什么不良情况？” 更具体地说，我用Google搜索“基于DNS的攻击”并获得了这篇方便的文章。释义：

1. 分布式反射DoS攻击
2. 缓存中毒
3. TCP SYN泛洪
4. DNS隧道
5. DNS劫持
6. 基本的NXDOMAIN攻击
7. 幻域攻击
8. 随机子域攻击
9. 域锁定攻击
10. 来自CPE设备的基于僵尸网络的攻击

这不是可能的基于DNS的攻击的最终列表，只是一篇文章值得一提的十个。

说真的，简短的回答是：“如果你不做有揭露它，不要。”

他们阻止了它，因为它们可以而且这是明智的安全策略。

该问题通常比具有潜在的开放式解析器更严重-一天结束时，安全地设置DNS服务器（没有开放式解析器）并使用反DDOS措施就可以了，只要有错误安装了DNS服务的任何服务器或计算机，就没有关系。 ，并向主DNS服务器发送DNS转发请求将使任何攻击者都可以绕过您在DNS服务器上实施的流量限制和安全限制。

这些请求似乎也来自内部基础结构，并且可能暴露DNS内部名称以及内部组织/网络/ IP地址的不需要的详细信息。

同样，根据网络安全规则，暴露给外部的服务和服务的数量越少，它们被泄露并被用作从内部利用基础设施进行攻击的切入点的可能性就越小。

通常，当涉及UDP流量时，您希望受到限制，因为：

a）与TCP相比，包过滤器更难可靠地确定传入的包是对来自网络内部的请求的答复...还是未经请求的请求。因此，通过数据包过滤防火墙来执行客户端/服务器角色变得更加困难。

b）任何绑定到服务器或客户端计算机上UDP端口的进程，即使仅由于它自己想发出请求而绑定到该端口，也将暴露于未经请求的数据包中，从而使系统安全性取决于没有过程中的缺陷，可能会导致对其进行利用或混淆。过去，例如NTP客户端就有这样的问题。对于TCP客户端，在大多数情况下，操作系统会丢弃发送给该客户端的未经请求的数据。

c）如果您正在运行NAT，则由于与a）中类似的原因，UDP流量过大会给NATing设备带来很多工作量

存在使用DNS协议和端口创建VPN隧道的工具。

碘就是其中之一。它允许通过在运行此软件的服务器上完全隧道传输流量来绕过防火墙。如描述所述，它使用DNS协议。

此工具和类似工具可能是造成此限制的原因。