1. ספרייה
  2. יציאות
  3. מדריך יציאות נפוצות

פורט 53: השאלות שמתחילות כל חיבור

עודכן לפני חודש

הדפדפן שלך לא יודע איפה כלום נמצא. הוא חייב לשאול.

לפני שהמכשיר שלך יכול להתחבר ל-google.com, הוא צריך ללמוד ש-google.com גר בכתובת 142.250.80.46. לפני שהוא יכול לשלוח אימייל, לבדוק API, או לטעון תמונה אחת מ-CDN, הוא צריך לתרגם שם למספר. התרגום הזה — רזולוציית DNS — קורה בפורט 53, וזה קורה כל הזמן. כל חיבור מתחיל בשאלה.

שני פרוטוקולים, פורט אחד

DNS משתמש גם ב-UDP וגם ב-TCP על פורט 53, ובוחר ביניהם בהתאם לצורך.

UDP מטפל במקרה הנפוץ. המכשיר שלך שולח חבילה קטנה ששואלת "איפה example.com?" ומקבל בחזרה חבילה קטנה עם התשובה. אין לחיצת יד, אין הגדרת חיבור — רק שאלה ותשובה. רוב שאילתות ה-DNS מתאימות בחבילת UDP אחת ומסתיימות תוך אלפיות שנייה.

TCP מטפל בכל השאר. כאשר תגובות גדולות מדי ל-UDP (נפוץ עם חתימות DNSSEC), השרת מאותת על קיטוע והלקוח מנסה שוב דרך TCP. העברות אזור — שבהן שרתי שמות משניים מסנכרנים רשומות משרתים ראשיים — תמיד משתמשות ב-TCP כי הן כוללות מגה-בייטים של נתונים מסודרים שלא ניתן לאבד.

חסמו TCP בפורט 53 ותשברו אימות DNSSEC והעברות אזור. שני הפרוטוקולים חשובים.

למה DNS מותקף

DNS הוא תשתית. כל חיבור תלוי בו. תקפו DNS ותתקפו כל מה שמסתמך עליו.

הרעלת מטמון מזריקה רשומות שגויות לזיכרון ה-Resolver. תשאלו על your-bank.com ותישלחו לשרת של תוקף במקום. DNSSEC מוסיף חתימות קריפטוגרפיות כדי למנוע זאת — Resolvers יכולים לאמת שתשובות לא שונו — אבל האימוץ נמוך. רק כ-4-5% מהדומיינים .com חתומים1, אם כי כמה TLD ארציים כמו .nl, .cz, ו-.se עולים על 50%.

מתקפות הגברה הופכות שרתי DNS לנשק. תוקף שולח שאילתה קטנה עם כתובת ה-IP שלכם מזויפת כמקור. שרת ה-DNS שולח את תגובתו — לפעמים גדולה פי 50 — אליכם. הכפילו זאת על פני אלפי שרתים ותקבלו שטפון של תעבורה.

מנהרת DNS מקודדת נתונים גנובים בתוך שאילתות DNS, ומבריחה מידע דרך מה שנראה כמו בדיקות שמות תמימות. מכיוון שתעבורת DNS זורמת חופשית דרך רוב חומות האש, היא מהווה ערוץ סמוי יעיל. זיהוי דורש מעקב אחר דפוסים חריגים: שאילתות רבות מדי, שמות דומיין ארוכים במיוחד, בקשות לדומיינים שנראים כמו מחרוזות אקראיות.

חור הפרטיות

ל-DNS המסורתי אין הצפנה. כל שאילתה עוברת בטקסט גלוי.

אתם מבקרים באתרים מוצפנים, אבל שאילתות ה-DNS שלכם מכריזות על יעדיכם בטקסט גלוי — כמו ללחוש לתוך טלפון בזמן שאתם צועקים את מספר הטלפון. ספק האינטרנט שלכם רואה כל דומיין שאתם מבקרים. מנהלי רשת רואים אותו. כל מי שמוצב ליירט את התעבורה שלכם רואה אותו.

שני פרוטוקולים מתקנים זאת:

DNS over HTTPS (DoH) עוטף שאילתות DNS בתוך תעבורת HTTPS רגילה בפורט 443. מנקודת המבט של הרשת, זה נראה כמו כל בקשת אינטרנט אחרת. Firefox הפעיל DoH כברירת מחדל למשתמשים בארה"ב בשנת 2020; Chrome, Edge ו-Safari עקבו2. פרטיות חזקה, אבל מנהלי רשת כבר לא יכולים להבחין בין תעבורת DNS לשאר — דבר ששובר סינון ומעקב מבוסס DNS.

DNS over TLS (DoT) מצפין שאילתות DNS באמצעות TLS בפורט 853. השאילתות מוגנות, אבל תעבורת DNS נראית לעין. מנהלים יכולים לראות ש-DNS מתרחש מבלי לראות מה נשאל.

שניהם מגנים על שאילתותיכם מפני ציתות. אף אחד מהם לא מגן עליכם מה-Resolver שלכם — מי שעונה לשאילתות שלכם רואה הכל.

כללי חומת האש

יוצא: אל תתנו לכל מכשיר לשאול כל שרת DNS שהוא רוצה. תוכנות זדוניות משתמשות ב-DNS חלופי כדי לעקוף את בקרות האבטחה שלכם. הפנו את כל התעבורה דרך Resolvers ייעודיים שאתם שולטים בהם.

נכנס: אם אתם מפעילים שרתי שמות מוסמכים, הם צריכים לקבל שאילתות מהאינטרנט. אם אתם מפעילים Resolvers רקורסיביים, הם צריכים לענות רק ללקוחות פנימיים. Resolver רקורסיבי פתוח מאפשר מתקפות הגברה ומשרת את כל האינטרנט בחינם.

DNS מוצפן: DoT בפורט 853 קל לחסימה אם אתם צריכים נראות. DoH בפורט 443 כמעט בלתי אפשרי לחסימה מבלי לשבור את האינטרנט. אם מודל האבטחה שלכם תלוי בראיית שאילתות DNS, תצטרכו לספק Resolvers מוצפנים מאושרים פנימית.

מה זה אומר

פורט 53 נושא את השאלות שהופכות את האינטרנט לנגיש. לפני שהמכשיר שלך יכול להתחבר לכל מקום, משהו צריך לתרגם את השם למספר.

הפרוטוקול משתנה — DNS מוצפן הופך לברירת מחדל — אבל התפקיד הבסיסי נשאר. ועכשיו אתם מבינים מה קרה באופן בלתי נראה, אלפי פעמים ביום, בכל פעם שהתחברתם לכל דבר שהוא.

שאלות נפוצות על DNS ופורט 53

למה DNS משתמש גם ב-UDP וגם ב-TCP?

UDP מהיר יותר — אין צורך בהגדרת חיבור — לכן הוא מטפל ב-99% מהשאילתות שמתאימות בחבילה אחת. TCP מטפל במקרי קצה: תגובות גדולות מדי ל-UDP (במיוחד רשומות חתומות ב-DNSSEC) והעברות אזור בין שרתי שמות שדורשות מסירה אמינה ומסודרת.

האם אני יכול לחסום פורט 53 כדי לעצור מנהרת DNS?

חסימת פורט 53 לחלוטין תשבור את כל רזולוציית ה-DNS. במקום זאת, הפנו את כל תעבורת ה-DNS דרך Resolvers מנוטרים שאתם שולטים בהם, ואז עקבו אחר חריגות: קצבי שאילתות מוגזמים, שמות דומיין ארוכים במיוחד, או שאילתות לדומיינים שנראים חשודים.

מה ההבדל בין DoH ל-DoT?

שניהם מצפינים שאילתות DNS. DoH מסתיר אותן בתוך תעבורת HTTPS רגילה בפורט 443 — פרטיות מרבית אבל בלתי נראית לניטור רשת. DoT משתמש בפורט ייעודי (853) — מוצפן אבל ניתן לזיהוי כ-DNS, ומאפשר למנהלים לראות ששאילתות מתרחשות מבלי לראות את תוכנן.

האם כדאי לי להפעיל Resolver DNS משלי?

למשתמשים ביתיים, Resolvers ציבוריים מהימנים כמו 1.1.1.1 של Cloudflare, 8.8.8.8 של Google, או 9.9.9.9 של Quad9 עובדים היטב. לארגונים, הפעלת Resolvers פנימיים מספקת נראות, שליטה על סינון ומפחיתה תלויות חיצוניות. התמורה היא מורכבות תפעולית.

מקורות

הקודם

פורט 20 ופורט 21: FTP (פרוטוקול העברת קבצים)

הבא

יציאה 143: IMAP (אחזור דואר אלקטרוני)

האם דף זה היה מועיל?

😔
🤨
😃