[DNS점검] 6. TCP 53Port 점검

요약

보안장비설정시 외부에서 들어오는 UDP 53, TCP53 포트는 반드시 열려있도록 설정해야 한다.

1

DNS는 UDP 53,TCP 53포트를 사용한다.

 


1. UDP 53번 포트는 반드시 열려있어야하므로, DDOS공격등으로 UDP포트 필터링 설정시 막지않도록 주의해야한다.

일반적으로 DNS질의는 UDP 53번을 통해 , 512바이트 이하의 패킷을 송수신한다.

하지만 호스트수가 많을 경우 512바이트를 넘게되어 TCP 53포트로 재질의하게된다.

 

2. TCP 53port가 사용되는 경우는 다음과 같다.

TCP 53번 포트가 막혀있으면 다음부분은 동작하지 않는다.

1) Zone Transfer시 사용
    Master네임 서버의 서버정보(Zone File)를 Slave서버가 받아가게 되는데 이때 TCP 53번포트를 사용한다.
    네임서버간에 TCP53번 포트가 막혀있으면, 서버간의 동기화가 되지 않아 변경한 DNS정보가 제대로 반영되지 못한다.

2) 메시지 사이즈가 512byte 이상일 경우에 사용
     특정 호스트 DNS 질의시 서버수가 많아, MSG사이즈가 512바이트를 넘는경우 TCP로 재질의하여 응답을 받게된다.
     이경우 재질의로 네임서버 및 Cache DNS의 부하가 증가하게된다.
     일부 ISP의 경우는 TCP 53번 포트가 막혀있으므로, 해당 기관에서는 질의가 되지 않는다.

 

예)  #  dig     test.serverchk.com

 ;; Truncated, retrying in TCP mode.       <- 재전송 일어난경우

; <<>> DiG 9.3.2 <<>> test.serverchk.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64853
;; flags: qr rd ra; QUERY: 1, ANSWER: 31, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;test.serverchk.com.            IN      A

;; ANSWER SECTION:
test.serverchk.com.     180     IN      A       100.1.1.30
test.serverchk.com.     180     IN      A       100.1.1.31
test.serverchk.com.     180     IN      A       100.1.1.1
test.serverchk.com.     180     IN      A       100.1.1.2
test.serverchk.com.     180     IN      A       100.1.1.3
test.serverchk.com.     180     IN      A       100.1.1.4
test.serverchk.com.     180     IN      A       100.1.1.5
test.serverchk.com.     180     IN      A       100.1.1.6
test.serverchk.com.     180     IN      A       100.1.1.7
test.serverchk.com.     180     IN      A       100.1.1.8
test.serverchk.com.     180     IN      A       100.1.1.9
test.serverchk.com.     180     IN      A       100.1.1.10
test.serverchk.com.     180     IN      A       100.1.1.11
test.serverchk.com.     180     IN      A       100.1.1.12
test.serverchk.com.     180     IN      A       100.1.1.13
test.serverchk.com.     180     IN      A       100.1.1.14
test.serverchk.com.     180     IN      A       100.1.1.15
test.serverchk.com.     180     IN      A       100.1.1.16
test.serverchk.com.     180     IN      A       100.1.1.17
test.serverchk.com.     180     IN      A       100.1.1.18
test.serverchk.com.     180     IN      A       100.1.1.19
test.serverchk.com.     180     IN      A       100.1.1.20
test.serverchk.com.     180     IN      A       100.1.1.21
test.serverchk.com.     180     IN      A       100.1.1.22
test.serverchk.com.     180     IN      A       100.1.1.23
test.serverchk.com.     180     IN      A       100.1.1.24
test.serverchk.com.     180     IN      A       100.1.1.25
test.serverchk.com.     180     IN      A       100.1.1.26
test.serverchk.com.     180     IN      A       100.1.1.27
test.serverchk.com.     180     IN      A       100.1.1.28
test.serverchk.com.     180     IN      A       100.1.1.29

;; AUTHORITY SECTION:
serverchk.com.          180     IN      NS      ns1.serverchk.com.

;; Query time: 11 msec
;; SERVER: 168.126.63.1#53(168.126.63.1)
;; WHEN: Sun Dec 28 11:59:30 2008
;; MSG SIZE  rcvd: 550       <- 메시지 사이즈가 512가 넘는다.

 

감사합니다.